Ivanti: Max severity Sentry flaw allows code execution as root
2026/06/10 BleepingComputer — セキュリティ・ソフトウェア企業 Ivanti が公開したのは、同社のセキュア・モバイル・ゲートウェイ・ソリューションである Ivanti Sentry に存在する 2 件の深刻な脆弱性に対処するためのパッチである。それらの脆弱性には、リモートの攻撃者に root 権限でのコード実行を許す最大深刻度の欠陥も含まれている。
以前は MobileIron Sentry として知られていた Ivanti Sentry は、企業のバックエンド・システムとリモート・モバイルデバイス間のトラフィックを保護するセキュリティゲートウェイ・アプライアンスである。今回修正された CVE-2026-10520 は、OS コマンド・インジェクションの欠陥に起因する深刻度 CVSS 10.0 の脆弱性である。
もう一方の脆弱性 CVE-2026-10523 は、深刻な認証バイパスの欠陥に起因する。この脆弱性を悪用する未認証のリモート攻撃者は、不正な管理者アカウントを作成し、完全な管理者権限を取得できる。
6月9日 (火) に Ivanti は、Sentry のバージョン R10.5.2/R10.6.2/R10.7.1 をリリースし、これら 2 件の脆弱性を修正した。
幸いにも、これらの脆弱性が、顧客環境で悪用された証拠を確認していないと、同社は述べている。ただし、潜在的な攻撃からシステムを保護するため、管理者にアップグレードを推奨している。
Ivanti は、「情報の開示時点において、これらの脆弱性が顧客環境で悪用されたことは確認されていない。現時点では、これらの脆弱性に関する既知の公開悪用は存在せず、侵害の兆候 (IoC) リストを提供できる状況ではない」と説明している。
近年、Ivanti の脆弱性は頻繁に攻撃の標的となっている。その理由は、標的組織の企業ネットワークへの侵入を試行する攻撃者にとって、機密性の高い企業データや顧客データを窃取するための容易な手段になり得る点にある。
2026年5月には、Cybersecurity and Infrastructure Security Agency (CISA) が米国連邦政府機関に対して、Ivanti 製デバイスへのパッチ適用を命じている。Ivanti が顧客に警告した、Endpoint Manager Mobile (EPMM) に存在する深刻なリモート・コード実行の脆弱性の悪用を受け、CISA は指令を発動した。
この数年において、複数の Ivanti ゼロデイ脆弱性が悪用され、世界中の政府機関を含む広範な侵害が発生している。そこには、Ivanti が 2026年1月に修正した 2 件の深刻な EPMM 脆弱性も含まれており、限られたごく少数の顧客を標的とする攻撃で、ゼロデイ脆弱性として悪用されたことが判明した。
Ivanti の IT 資産管理ソリューションは、世界中の 40,000 社以上の顧客に利用されており、7,000 社を超えるパートナーと 3,000 名以上の従業員に支えられている。
訳者後書:今回修正された脆弱性のうち、CVE-2026-10520 は OS コマンド・インジェクションの不備により、攻撃者に対して root 権限でのコード実行を許すものです。また、CVE-2026-10523 は認証処理の欠陥に起因する認証バイパスの脆弱性であり、未認証の攻撃者に対して、不正な管理者アカウントの作成と、管理権限の取得を許すものです。いずれもシステムの中核機能に関わる問題であり、悪用された場合には機密情報へのアクセスやシステムの不正操作につながる可能性があります。現時点で実際の悪用は確認されていませんが、影響を受ける環境では、修正バージョンへの更新が必須の状況です。ご利用のチームは、ご注意ください。よろしければ、Ivanti での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.