3分で読めます
脅威アクターは、Ivanti Sentryの深刻な脆弱性が公開されてから24時間以内に、公開されたPoC(概念実証)エクスプロイトを利用した攻撃を開始しました。
Ivantiは火曜日、CVE-2026-10520を公開しました。これは、R10.5.2、R10.6.2、R10.7.1より前のバージョンの同社Sentryモバイルゲートウェイ製品に影響するOSコマンドインジェクション脆弱性です。最大深刻度であるCVSSスコア10を記録したこの脆弱性により、未認証の攻撃者がルート権限でリモートからコードを実行できます。
Ivantiはこの脆弱性とともに、もう一つのSentry脆弱性CVE-2026-10523(CVSSスコア9.9の認証バイパス欠陥)も公開しました。セキュリティアドバイザリの中でIvantiは当初、どちらの脆弱性も実際に悪用されたケースは確認していないと述べていました。しかし、CVE-2026-10520については状況が急速に変化したようです。
CVE-2026-10520 Triggers Exploitation">CVE-2026-10520のPoC公開が悪用を誘発
サイバーセキュリティベンダーのWatchTowrは昨日、この脆弱性の技術的分析とPoCエクスプロイトを公開しました。同日に公開されたブログ投稿の中でRapid7は、この脆弱性は容易に武器化できると警告し、組織に対して早急な対応を呼びかけました。
「悪用の容易さと公開PoCの存在を踏まえると、実際の悪用事例が発生する可能性が高い」とRapid7の研究者は記しています。「影響を受けるバージョンのIvanti Sentryを運用する組織は、実際の悪用が始まる前に、これらの問題を緊急で修正すべきです。」
予想通り、攻撃者はすぐにCVE-2026-10520に飛びつきました。ソーシャルメディアプラットフォームMastodonへの投稿で、Shadowserver Foundationは「本日、公開PoCに基づくIvanti Sentry CVE-2026-10520の悪用試みが大量に観測された」と報告しました。
具体的には、Shadowserverは19件の脆弱なインスタンスを発見し、そのうち少なくとも2件にバックドアが仕込まれていました。「スキャンで到達できないIvanti Sentryインスタンスが複数あるため(ブロックリストに登録されているのかもしれません)、検出数はやや少なめになっていますが、現時点でパッチを適用していなければ、ほぼ確実に侵害されていると考えられます」とShadowserverは投稿の中で述べています。
サイバーセキュリティベンダーのDefusedもスキャンで悪用活動を検出しました。DefusedのファウンダーでCEOのSimo Kohonen氏はDark Readingに対し、攻撃は「WatchtowrのPoC公開後、ほぼ途切れることなく続いている」と語っています。
さらに重要なのは、Defusedが観測した悪用活動において、攻撃者が事前にシステムのフィンガープリンティングなどの調査を一切行わず、同社のIvantiハニーポットに対して直接エクスプロイトを仕掛けた点だとKohonen氏は指摘します。
「最初に行動した者は、脆弱性やエクスプロイト情報が公開される前からIvantiの資産マップをすでに持っており、情報が公開されると即座に動けたことを示唆しています」と同氏は述べています。
Ivanti Sentryユーザーへのリスク
Ivanti Sentry(旧MobileIron Sentry)は、同ベンダーのUEM(統合エンドポイント管理)プラットフォームの一部であり、モバイルデバイスと企業システムをつなぐインラインゲートウェイとして機能します。このアプライアンスは、メールなどのサービス向けにオンデマンドのアプリケーション固有VPNを確立し、トラフィックの保護やデータの暗号化を担います。
SOCRadarによると、CVE-2026-10520の悪用によってSentryインスタンスへのルートレベルアクセスを取得した脅威アクターは、アプライアンスの設定、保存された認証情報、統合された認証やディレクトリ接続を自在に操れるようになります。
「Ivanti Sentryは企業環境において、モバイルおよびデバイスアクセスの制御ポイントとして機能するため、非常にセンシティブな位置に配置されることが多い」とSOCRadarのリサーチチームは昨日のブログ投稿に記しています。「そのため、アプライアンスが侵害された場合に後続への影響が増幅される可能性があります。」
SOCRadarはさらに、Sentryアプライアンスから設定や認証情報などの機密情報を抜き取るだけでなく、脅威アクターはアプライアンスの配置場所によっては、アクセス要件の変更やセキュリティ制御の弱体化、さらには組織の環境内での横移動も可能だと指摘しています。
CVE-2026-10520への攻撃は、Ivantiのユーザーが直面する最新の脅威です。同ベンダーの製品は近年、サイバー犯罪者と国家主導のアクターの両方から集中的に標的にされてきました。直近では、Ivanti Endpoint Manager Mobile(EPMM)の深刻な脆弱性CVE-2026-1340が4月に広範な悪用を受けました。
