米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、新たに発行された拘束的運用指令(BOD)26-04に基づき、積極的に悪用されているIvanti Sentryの脆弱性について、政府機関に対して3日以内にパッチを適用するよう命令しました。
CVE-2026-10520として追跡されているこの最大深刻度の脆弱性は、Ivantiのセキュリティゲートウェイアプライアンス(旧MobileIron Sentry)に発見されたもので、OSコマンドインジェクションの欠陥に起因しています。
水曜日、IvantiがCVE-2026-10520のパッチをリリースし、実際の悪用の証拠はないと発表した翌日、インターネットセキュリティ監視機関のShadowserverは、攻撃者がオンラインに公開されている多くのSentryゲートウェイにすでにバックドアを仕掛けていると報告しました。
IvantiはCVE-2026-10520が積極的に悪用されている旨を警告するためにアドバイザリをまだ更新しておらず、BleepingComputerが進行中の攻撃の詳細について問い合わせた際もIvantiの広報担当者からの回答はありませんでした。
Shadowserverが現在追跡しているオンラインで公開されているSentry管理ポータルは50件強にとどまっています。ただし同機関は、検出できるインターネット上のIvanti Sentryインスタンスの数は組織がセキュリティスキャナーをブロックしていることで制限されている可能性が高く、パッチ未適用のシステムはすでに侵害されている可能性が高いと警告しています。
「本日、公開されているPoCに基づくIvanti Sentry CVE-2026-10520の大量の悪用試みを観測しています」と同機関は述べています。
「スキャンでアクセスできないIvanti Sentryインスタンスが複数存在する(ブロックリスト登録の可能性)ため検出数はやや少なめですが、現時点でパッチを適用していない場合は、侵害されている可能性が高いです。」
木曜日、CISAもCVE-2026-10520の脆弱性が現在攻撃で積極的に悪用されていることを確認し、既知の悪用脆弱性カタログ(KEV)に追加しました。また、拘束的運用指令(BOD)26-04の要件に基づき、連邦文民行政機関(FCEB)に対してIvanti Sentryのインスタンスを3日以内に保護するよう命令しています。
「このタイプの脆弱性は、悪意あるサイバー攻撃者にとって頻繁に利用される攻撃ベクターであり、連邦政府のシステム全体に重大なリスクをもたらします」と同機関は警告しています。「クラウドサービスについては該当するBOD 26-04のガイダンスに従い、緩和策が利用できない場合は製品の使用を中止してください。利害関係者は各資産のインターネット公開状況を評価し、BOD 26-04のパッチ適用ガイドラインへの準拠を確保する責任があります。」
BOD 26-04は水曜日に発行され(旧BOD 19-02およびBOD 22-01に取って代わり、それらを廃止)、資産がオンラインで公開されている場合、セキュリティ上の欠陥がCISAのKEVカタログに追加された場合、悪用が大規模攻撃向けに自動化できる場合、そして悪用に成功した場合に攻撃者がターゲットシステムの一部または全体を制御できる場合に、米国連邦機関にパッチ適用を優先するよう義務付けています。
CVE-2026-10520はBOD 26-04が適用される最初の脆弱性ですが、CISAはここ数週間で、Check Point VPNのゼロデイ脆弱性、実際の攻撃で悪用されている高深刻度のOracle WebLogic Serverの脆弱性、積極的に悪用されているcPanelプラグインの脆弱性など、他のセキュリティ上の欠陥についても連邦機関に3日以内のパッチ適用を命令しています。
過去数年間で、CISAはIvantiの幅広い製品にわたる35件の脆弱性が攻撃で悪用されていることを指摘しており、そのうち12件はランサムウェアグループによって標的にされています。
攻撃者より先に、すべての層をテスト
セキュリティチームが記録できる成功した攻撃は全体の54%、アラートとして検出できるのはわずか14%です。残りの攻撃は環境内を検出されることなく移動し続けています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(BAS)がSIEMおよびEDRのルールをどのようにテストし、脅威が検出をすり抜けないようにするかを解説しています。
