Badan Keamanan Siber dan Infrastruktur AS (CISA) memerintahkan lembaga pemerintah untuk menambal kelemahan Ivanti Sentry yang dieksploitasi secara aktif dalam waktu tiga hari, sebagaimana diamanatkan oleh Petunjuk Operasional Mengikat (BOD) 26-04 yang baru dikeluarkan.
Dilacak sebagai CVE-2026-10520kerentanan dengan tingkat keparahan maksimum ini ditemukan di alat gerbang keamanan Ivanti (sebelumnya dikenal sebagai MobileIron Sentry) dan berasal dari kelemahan injeksi perintah OS.
Pada hari Rabu, satu hari setelah Ivanti merilis patch untuk CVE-2026-10520 dan mengatakan bahwa tidak ada bukti eksploitasi liar, pengawas keamanan Internet Shadowserver melaporkan hal itu penyerang sudah melakukan pintu belakang banyak gateway Sentry yang terekspos secara online.
Ivanti belum memperbarui penasehatnya untuk memperingatkan bahwa CVE-2026-10520 sedang dalam eksploitasi aktif, dan juru bicara Ivanti belum menanggapi ketika dihubungi oleh BleepingComputer untuk rincian lebih lanjut tentang serangan yang sedang berlangsung ini.
Sementara Shadowserver sekarang melacak lebih dari 50 portal admin Sentry terekspos secara onlinedikatakan bahwa jumlah kasus Ivanti Sentry yang terpapar Internet yang dapat dideteksi kemungkinan besar dibatasi oleh organisasi yang memblokir pemindai keamanannya, dan memperingatkan bahwa sistem yang belum ditambal kemungkinan besar telah disusupi.
“Kami mengamati sejumlah besar upaya eksploitasi Ivanti Sentry CVE-2026-10520 berdasarkan PoC publik hari ini,” katanya.
“Meskipun deteksi kami berada pada titik terendah karena beberapa instance Ivanti Sentry tidak dapat dijangkau dalam pemindaian kami (daftar blokir?), jika Anda belum melakukan patch sekarang, kemungkinan besar Anda telah disusupi.”
Pada hari Kamis, CISA juga dikonfirmasi bahwa kerentanan CVE-2026-10520 kini dieksploitasi secara aktif dalam serangan dan ditambahkan ke dalamnya Katalog Kerentanan yang Dieksploitasi yang Diketahui (KEV), memerintahkan badan-badan Cabang Eksekutif Sipil Federal (FCEB) untuk mengamankan instansi Ivanti Sentry mereka dalam waktu tiga hari, sebagaimana disyaratkan oleh Petunjuk Operasional yang Mengikat (BOD) 26-04.
“Jenis kerentanan ini sering menjadi vektor serangan bagi pelaku siber jahat dan menimbulkan risiko signifikan bagi perusahaan federal,” badan keamanan siber memperingatkan. “Ikuti panduan BOD 26-04 yang berlaku untuk layanan cloud atau hentikan penggunaan produk jika mitigasi tidak tersedia. Pemangku kepentingan bertanggung jawab untuk mengevaluasi paparan internet setiap aset dan memastikan kepatuhan terhadap pedoman patching BOD 26-04.”
Direksi 26-04 dikeluarkan pada hari Rabu (menggantikan dan mencabut BOD 19-02 dan BOD 22-01 yang lama), dan mengharuskan lembaga federal AS untuk memprioritaskan patching jika aset terekspos secara online kepada publik, jika kelemahan keamanan ditambahkan ke katalog KEV CISA, jika eksploitasi dapat diotomatisasi untuk serangan skala besar, dan jika eksploitasi berhasil memberikan penyerang kendali sebagian atau seluruhnya atas sistem yang ditargetkan.
Meskipun CVE-2026-10520 adalah kerentanan pertama yang menerapkan BOD 26-04, dalam beberapa minggu terakhir CISA telah memerintahkan lembaga federal untuk menambal kelemahan keamanan lainnya dalam waktu tiga hari, termasuk a Periksa Point VPN zero-dayA kerentanan Oracle WebLogic Server dengan tingkat keparahan tinggi dieksploitasi di alam liar, dan an secara aktif mengeksploitasi kelemahan plugin cPanel.
Selama beberapa tahun terakhir, CISA telah ditandai 35 kerentanan di berbagai produk Ivanti yang telah disalahgunakan dalam serangan, dengan 12 di antaranya menjadi sasaran geng ransomware.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.
