기술 설명
Ivanti Sentry (구 MobileIron Sentry)는 /mics/api/v2/sentry/mics-config/handleMessage 엔드포인트에 사전 인증된 OS 명령 주입 취약점(CWE-78, CVSS 10.0)을 포함하고 있습니다. Spring Boot 컨트롤러가 사용자 제공 'message' 파라미터를 수락하고 이를 검증되지 않은 상태로 구성 처리 서비스에 전달하여, 원격 인증되지 않은 공격자가 루트 권한으로 임의의 OS 명령을 실행할 수 있게 합니다. Ivanti는 6월 9일 CVE-2026-10523(인증 우회, CVSS 9.9)과 함께 이 결함을 공개했습니다. WatchTowr는 6월 10일 완전한 기술 분석 및 PoC를 게시했습니다. Shadowserver는 PoC 공개 후 24시간 내에 활성 악용 및 2개의 백도어된 인스턴스를 관찰했습니다.
공격 경로
/mics/api/v2/sentry/mics-config/handleMessage에 대한 인증되지 않은 HTTP POST — Sentry 관리 인터페이스가 도달 가능한 곳 어디서나 인터넷에서 악용 가능합니다. 인증, 장치 지문인식 또는 특수한 사전 조건이 필요하지 않습니다. 공격자 운영자는 Ivanti 자산 인벤토리를 미리 준비했으며 PoC 가용성이 되자마자 즉시 악용을 시작했습니다.
영향받는 시스템
Ivanti Sentry 버전 10.5.1, 10.6.1, 10.7.0 및 모든 이전 버전입니다. Sentry는 이메일, VPN 및 애플리케이션 트래픽을 위한 인라인 모바일-엔터프라이즈 게이트웨이로 작동하며 일반적으로 인터넷 연결입니다.
완화 방안
Ivanti Sentry R10.5.2, R10.6.2 또는 R10.7.1로 즉시 업그레이드하십시오. 연방 기관은 CISA BOD 26-04에 따라 6월 14일까지 수정해야 합니다. WatchTowr은 탐지 스크립트를 공개했습니다. 패칭 전에 BOD 26-04 지침에 따라 손상 확인을 수행하십시오 — 패칭은 이미 존재하는 공격자를 제거하지 않습니다. 인터넷에서 접근 가능한 인스턴스를 우선시하십시오.