Des attaquants ciblent désormais une faille de gravité maximale, qui a été corrigée récemment dans Ivanti Sentry. Cette vulnérabilité leur permet d’exécuter du code avec des privilèges racine sur les passerelles mobiles sécurisées exposées sur Internet.
L’appliance de passerelle de sécurité Ivanti Sentry, anciennement appelée MobileIron Sentry, sécurise les échanges entre les systèmes d’entreprise en arrière-plan et les appareils mobiles distants.
Identifiée sous la référence CVE-2026-10520, cette vulnérabilité maximale provient d’une faiblesse d’injection de commandes au niveau du système d’exploitation. Ivanti a diffusé un correctif mardi en publiant les versions R10.5.2, R10.6.2 et R10.7.1 de Sentry.
L’entreprise a initialement indiqué qu’elle n’avait pas connaissance d’exploitation active de cette faille. Cependant, l’organisation à but non lucratif Shadowserver a signalé le lendemain que des attaquants avaient déjà installé des portes dérobées sur la majorité des passerelles Sentry exposées en ligne.
L’observateur de la sécurité sur Internet a aussi précisé que ses scans détectent un nombre très limité d’instances Sentry exposées, mais qu’il en existe probablement davantage, car son moteur de recherche est bloqué par certaines listes de filtrage.
Shadowserver a mis en garde : « Nous observons un volume important de tentatives d’exploitation de la CVE-2026-10520 sur Ivanti Sentry aujourd’hui, suite à la publication d’une preuve de concept publique. Nous voyons 19 instances vulnérables dans nos propres scans, dont au moins 2 sont équipées d’une porte dérobée. Toutefois, toutes les autres sont vraisemblablement compromises aussi. » L’organisation a ajouté : « Si vous n’avez pas encore appliqué le correctif, il est très probable que vous soyez compromis. »
Ivanti n’a pas encore mis à jour l’avis de sécurité publié mardi, qui indique toujours : « Nous n’avons pas connaissance de clients exploités par ces vulnérabilités au moment de la divulgation. »
Un porte-parole d’Ivanti n’était pas immédiatement disponible pour commenter lorsque BleepingComputer a sollicité des précisions sur ces attaques en cours.
Les pirates informatiques ciblent souvent les failles de sécurité d’Ivanti, car elles constituent un point d’entrée vers les réseaux d’entreprise des victimes et permettent le vol de données sensibles, qu’elles soient clients ou internes.
Par exemple, plusieurs failles zero-day d’Ivanti ont été exploitées ces dernières années pour compromettre un large éventail de cibles, dont des agences gouvernementales dans le monde entier. Cela inclut deux vulnérabilités critiques de l’Endpoint Manager Mobile (EPMM) qu’Ivanti a corrigées en janvier après leur exploitation en tant que zero-day contre un « très petit nombre de clients ».
Plus récemment, l’agence américaine Cybersecurity and Infrastructure Security Agency (CISA) a ordonné le mois dernier aux agences fédérales des États-Unis de corriger les systèmes Ivanti sur leurs réseaux. Cet ordre est intervenu après qu’Ivanti a alerté ses clients concernant une faille EPMM de haute gravité qui permet l’exécution de code à distance et qui a été exploitée dans des attaques zero-day.
Au cours des dernières années, la CISA a signalé 34 vulnérabilités dans divers produits Ivanti comme étant activement exploitées dans la nature, et 12 d’entre elles ont aussi été ciblées dans des attaques par rançongiciel.
Ivanti dispose d’un réseau de plus de 7 000 partenaires et emploie plus de 3 000 personnes. Ses solutions de gestion des actifs informatiques sont utilisées par plus de 40 000 clients à travers le monde.