Penyerang kini menargetkan kelemahan tingkat keparahan maksimum yang baru saja ditambal di Ivanti Sentry, yang memungkinkan mereka mengeksekusi kode dengan hak akses root pada gateway seluler aman yang terekspos Internet.
Sebelumnya dikenal sebagai MobileIron Sentry, alat gerbang keamanan Ivanti Sentry mengamankan lalu lintas antara sistem perusahaan back-end dan perangkat seluler jarak jauh.
Dilacak sebagai CVE-2026-10520kerentanan dengan tingkat keparahan maksimum berasal dari kelemahan injeksi perintah OS dan telah ditambal oleh Ivanti pada hari Selasa dengan dirilisnya Sentry versi R10.5.2, R10.6.2, dan R10.7.1.
Meskipun perusahaan tersebut mengatakan pada saat itu bahwa mereka tidak memiliki bukti eksploitasi liar, organisasi keamanan nirlaba Shadowserver melaporkan keesokan harinya bahwa penyerang telah melakukan backdoor pada sebagian besar gateway Sentry yang terekspos secara online.
Pengawas keamanan Internet juga menambahkan bahwa, meskipun pemindaiannya hanya mendeteksi sejumlah kecil contoh Sentry yang terekspos, kemungkinan ada lebih banyak lagi karena mesin pencarinya masuk dalam daftar blokir.
“Kami mengamati sejumlah besar upaya eksploitasi Ivanti Sentry CVE-2026-10520 berdasarkan PoC publik hari ini. Kami melihat 19 contoh rentan dalam pemindaian kami, dengan setidaknya 2 backdoor (terima kasih kepada NCA Saudi atas tipnya!). Namun, semuanya kemungkinan besar juga telah disusupi,” Shadowserver memperingatkan.
“Meskipun deteksi kami berada pada titik terendah karena beberapa instance Ivanti Sentry tidak dapat dijangkau dalam pemindaian kami (daftar blokir?), jika Anda belum melakukan patch sekarang, kemungkinan besar Anda telah disusupi.”
Ivanti belum memperbarui peringatan keamanan yang dikeluarkan pada hari Selasa, yang masih menyatakan bahwa “Kami tidak mengetahui adanya pelanggan yang dieksploitasi oleh kerentanan ini pada saat pengungkapan.”
Juru bicara Ivanti tidak dapat dihubungi untuk dimintai komentar ketika BleepingComputer menghubungi hari ini untuk rincian lebih lanjut mengenai serangan yang sedang berlangsung ini.
Peretas sering menargetkan kelemahan keamanan Ivanti karena mereka menyediakan titik masuk ke jaringan perusahaan target, sehingga memungkinkan pencurian data sensitif pelanggan dan perusahaan.
Misalnya, beberapa zero-day Ivanti telah dieksploitasi beberapa tahun terakhir untuk melanggar berbagai target (seperti pemerintah agensi di seluruh dunia), termasuk dua kerentanan kritis Endpoint Manager Mobile (EPMM). yang disampaikan Ivanti pada bulan Januari setelah mereka dieksploitasi sebagai zero-day terhadap “jumlah pelanggan yang sangat terbatas”.
Baru-baru ini, Badan Keamanan Siber dan Infrastruktur (CISA) memerintahkan badan-badan federal AS bulan lalu untuk menambal sistem Ivanti di jaringan mereka setelah perusahaan memperingatkan pelanggan tentang kelemahan EPMM eksekusi kode jarak jauh dengan tingkat keparahan tinggi yang disalahgunakan dalam serangan zero-day.
Selama beberapa tahun terakhir, CISA telah ditandai 34 kerentanan di berbagai produk Ivanti seperti yang dieksploitasi secara aktif di alam liar, dan 12 di antaranya juga menjadi sasaran serangan ransomware.
Ivanti memiliki jaringan lebih dari 7.000 mitra dan lebih dari 3.000 karyawan, dan solusi manajemen aset TI-nya digunakan oleh lebih dari 40.000 pelanggan di seluruh dunia.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.
