Ivanti Sentryの最大深刻度脆弱性、実際の攻撃で悪用開始

攻撃者が、最近パッチの適用されたIvanti Sentryの最大深刻度の脆弱性を標的にし始めました。この脆弱性を悪用することで、インターネットに公開されたセキュアモバイルゲートウェイ上でroot権限によるコード実行が可能になります。

旧称「MobileIron Sentry」として知られるIvanti Sentryは、バックエンドの企業システムとリモートモバイルデバイス間のトラフィックを保護するセキュリティゲートウェイアプライアンスです。

CVE-2026-10520として追跡されているこの最大深刻度の脆弱性は、OSコマンドインジェクションの欠陥に起因しており、IvantiはSentryバージョンR10.5.2、R10.6.2、R10.7.1のリリースとともに火曜日にパッチを公開しました。

同社は当時、野外での悪用の証拠はないと述べていました。しかし非営利のセキュリティ組織Shadowserverは翌日、攻撃者がすでにオンライン公開中のSentryゲートウェイのほとんどにバックドアを仕掛けていると報告しました。

このインターネットセキュリティ監視組織はさらに、自身のスキャンでは公開されているSentryインスタンスの検出数が非常に限られているものの、同組織の検索エンジンがブロックリストに登録されているため、実際にはさらに多くのインスタンスが存在する可能性があると指摘しました。

「本日公開されたPoC（概念実証コード）に基づいたIvanti SentryのCVE-2026-10520の悪用試行を大量に観測しています。自社スキャンでは19件の脆弱なインスタンスを確認しており、少なくとも2件にバックドアが設置されていました（情報提供いただいたサウジアラビアNCAに感謝します！）。ただし、残りのインスタンスもすべて侵害されている可能性が高いです」とShadowserverは警告しています。

「複数のIvanti Sentryインスタンスが自社スキャンで到達不能（ブロックリスト登録の可能性？）なため、検出数はやや少なめです。パッチをまだ適用していない場合は、ほぼ確実に侵害されています」

Ivantiは火曜日に発行したセキュリティアドバイザリをまだ更新しておらず、現在も「開示時点においてこれらの脆弱性を悪用された顧客がいるとは認識していない」という記述が残ったままです。

​BleepingComputerが本日、この継続中の攻撃の詳細について問い合わせましたが、Ivantiの広報担当者からはすぐに回答を得られませんでした。

ハッカーがIvantiのセキュリティ上の欠陥を好んで標的にするのは、ターゲット企業のネットワークへの侵入口として機能し、機密性の高い顧客データや企業データの窃取が可能になるためです。

例えば、複数のIvantiのゼロデイ脆弱性が近年悪用され、世界中の政府機関を含む幅広いターゲットへの侵害が発生しています。また、ゼロデイとして「非常に限られた数の顧客」を標的とした攻撃に悪用された後、Ivantiが1月に対処した2件の重大なEndpoint Manager Mobile（EPMM）の脆弱性もその一例です。

さらに最近では、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）が先月、Ivantiがゼロデイ攻撃で悪用された高深刻度のリモートコード実行EPMM欠陥について顧客に警告したことを受け、米国連邦機関に対してネットワーク上のIvantiシステムへのパッチ適用を命じました。

過去数年にわたり、CISAはIvantiのさまざまな製品における34件の脆弱性を、実際に積極的に悪用されているとして指定しており、そのうち12件はランサムウェア攻撃の標的にもなっています。

Ivantiは7,000社以上のパートナーネットワークと3,000名以上の従業員を擁し、そのIT資産管理ソリューションは世界中の40,000社以上の顧客に利用されています。