セキュリティ研究者が実証コード(PoC)を公開してからわずか1日後、CVSSスコア満点10のOSコマンドインジェクション脆弱性(CVE-2026-10520)を標的とした積極的な悪用攻撃がIvanti Sentryに対して始まっています。
この脆弱性は、2026年6月9日にSentryモバイルゲートウェイ製品で発見された2件目の重大な問題(CVE-2026-10523)とともに公表されましたが、翌日には早くも脅威アクターがパッチ未適用のシステムを大規模にスキャンし、悪用を開始していました。
Shadowserver Foundationは、CVE-2026-10520を標的とした多数の悪用試行を報告しており、自らのスキャンで脆弱なインスタンスを19件確認し、そのうち少なくとも2件にはバックドアが設置されていたとしています。
CVE-2026-10520は、Ivanti SentryにおけるOSコマンドインジェクション脆弱性(CWE-78)で、CVSSスコアは満点の10.0です。
この脆弱性はSentryウェブアプリケーションのConfigServiceControllerクラスに存在しており、エンドポイント/mics/api/v2/sentry/mics-config/handleMessageへの未認証HTTPPOSTリクエストを通じてアクセスが可能です。
Ivantiによると、ユーザーが指定したmessageパラメータは、コマンド、モジュール、XPath、値の各コンポーネントに解析されます。
コマンドが"execute"と一致した場合、入力は直接handleExecute()に渡され、入力検証なしにネイティブのシステムコマンドが実行されます。その結果、認証情報が一切不要なルート権限でのリモートコード実行が可能となります。
CVE-2026-10523は、CVSSスコア9.9の認証バイパス脆弱性(CWE-288)です。この脆弱性を悪用すると、未認証の遠隔攻撃者が任意の管理者アカウントを作成し、脆弱なSentryアプライアンスへの完全な管理者アクセスを取得できます。前述のRCE脆弱性と組み合わせて悪用される可能性があります。
Ivantiはパッチ済みのISOおよびアップデーターパッケージをサポートポータルから提供しています。同社は情報開示時点で悪用被害を受けた顧客は確認されていないと述べていましたが、PoC公開後にその状況は急速に変化しました。
ある研究者が2026年6月10日(IvantiのアドバイザリがリリースされたわずかThe翌日)にCVE-2026-10520の詳細な技術分析とPythonベースの動作するPoCエクスプロイトを公開しました。
同社はまた、パッチ適用前に露出したインスタンスを迅速に特定できる公開検出スクリプトをリリースしました。パッチ自体は、ユーザー制御の入力をハードコードされたコマンドに置き換えることでインジェクション経路を排除しています。
Shadowserver Foundationの地理的テレメトリによると、脆弱なインスタンスが最も多いのは米国の8件で、次いでメキシコ(2件)、カナダ(1件)、ドイツとリスクを抱えるホストが続いています。
Ivantiは、悪用が容易な脆弱性の性質とPoCが公開済みであることを踏まえ、通常のパッチサイクルの枠外で緊急対応として本パッチを適用するよう強く推奨しています。各組織には以下の対応が求められます:
Ivanti Sentryはエンタープライズモバイルゲートウェイとして広く導入されており、Microsoft Exchangeをはじめとするバックエンドへの暗号化トラフィックをルーティングしています。悪用が成功した場合、企業の機密メールやモバイルデバイス管理インフラへのアクセスが可能となるため、その影響は極めて深刻です。
翻訳元: https://cyberpress.org/ivanti-command-injection-flaw/
