L’agence américaine de cybersécurité, CISA, a ordonné aux administrations gouvernementales de corriger une faille critique dans Ivanti Sentry. Cette directive intervient car cette vulnérabilité est exploitée activement. Les agences doivent appliquer les correctifs dans un délai de trois jours, comme le stipule la nouvelle directive opérationnelle obligatoire BOD 26-04.
La vulnérabilité, identifiée sous le nom CVE-2026-10520, a été découverte dans l’appliance de passerelle de sécurité d’Ivanti, qui était précédemment nommée MobileIron Sentry. Elle provient d’une faille d’injection de commande au niveau du système d’exploitation.
Mercredi, un jour après que Ivanti a publié les correctifs pour cette faille et déclaré qu’elle n’avait pas de preuve d’exploitation en direct, l’organisation de surveillance de la sécurité sur Internet Shadowserver a signalé que des attaquants avaient déjà installé des portes dérobées sur un grand nombre de passerelles Sentry accessibles en ligne.
Ivanti n’a pas encore mis à jour son annonce pour avertir que le CVE-2026-10520 est exploité activement. Un porte-parole de l’entreprise n’a pas donné de réponse lorsque BleepingComputer a sollicité des détails sur ces attaques.
Shadowserver observe actuellement environ 50 portails d’administration Sentry exposés sur Internet. L’organisation indique que le nombre d’instances Ivanti Sentry exposées qu’elle peut détecter est probablement limité, car des entreprises bloquent son scanner de sécurité. Elle avertit que les systèmes qui n’étaient pas déjà corrigés sont probablement compromis.
« Nous observons aujourd’hui un grand nombre de tentatives d’exploitation de la faille Ivanti Sentry CVE-2026-10520, basées sur le code de preuve publique », a déclaré Shadowserver. « Si notre détection est relativement faible car plusieurs instances Ivanti Sentry ne sont pas accessibles dans nos scans (elles sont sur liste de blocage?), si vous n’avez pas appliqué le correctif maintenant, vous êtes très probablement compromis. »
Jeudi, CISA a également confirmé que la vulnérabilité CVE-2026-10520 est maintenant exploitée activement dans des attaques. L’agence l’a ajoutée à son Catalogue des Vulnérabilités Exploités Connues KEV. Elle a ordonné aux agences du secteur exécutif fédéral civil FCEB de sécuriser leurs instances Ivanti Sentry dans trois jours, comme la directive obligatoire BOD 26-04 le requiert.
« Ce type de vulnérabilité est un vecteur d’attaque fréquent pour les acteurs malveillants et représente des risques significatifs pour l’administration fédérale », a averti l’agence de cybersécurité. « Suivez les directives applicables de la BOD 26-04 pour les services cloud, ou arrêtez l’utilisation du produit si les mesures de mitigation ne sont pas disponibles. Les parties concernées doivent évaluer l’exposition à Internet de chaque asset et garantir l’application des directives de correction de la BOD 26-04. »
La directive BOD 26-04 a été émise mercredi. Elle remplace et annule les anciennes directives BOD 19-02 et BOD 22-01. Elle demande aux agences fédérales américaines de prioriser la correction des failles si l’asset est exposé publiquement en ligne, si la faille de sécurité est ajoutée au catalogue KEV de CISA, si son exploitation peut être automatisée pour des attaques à grande échelle, et si une exploitation réussie donne aux attaquants un contrôle partiel ou total du système visé.
Le CVE-2026-10520 est la première vulnérabilité pour laquelle la BOD 26-04 s’applique. Cependant, ces dernières semaines, CISA a ordonné aux agences fédérales de corriger d’autres failles de sécurité dans trois jours. Cela inclut une faille zero-day dans Check Point VPN, une vulnérabilité de haute gravité dans Oracle WebLogic Server exploitée en direct, et une faille dans un plugin cPanel qui est aussi exploitée activement.
Ces dernières années, CISA a signalé 35 vulnérabilités dans une large gamme de produits Ivanti qui ont été exploitées dans des attaques. Douze de ces failles ont été ciblées par des groupes de rançongiciels.