米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、最近パッチが適用されたIvanti Sentryの脆弱性を悪用済みとして指摘しましたが、Ivantiはその活動がハニーポット上でのみ観測されたものだと説明しています。
CVE-2026-10520(CVSSスコア10/10)として追跡されているこの脆弱性は、認証なしでリモートから悪用可能なOSコマンドインジェクションの問題であり、root権限で任意のコードを実行される恐れがあります。
Ivantiは6月10日にこの脆弱性へのパッチを公開し、野生での悪用の証拠はないとしていました。修正はIvanti Sentryバージョン10.5.2、10.6.2、10.7.1に含まれています。
木曜日、CISAはこの脆弱性を既知の悪用脆弱性(KEV)カタログに追加し、リスクに基づくパッチ適用の優先順位付けを定めたBOD 26-04ガイダンスに従い、連邦機関に3日以内に対処するよう求めました。
「この脆弱性が悪用されうるのは、Sentryアプライアンスが管理されていない状態でエンドポイントが外部からアクセス可能な場合です。EPMMとのmTLSの使用、またはNeurons for MDMを通じたHTTPSアクセスの制限により、外部からインターフェースへのアクセスが遮断されます」とCISAは指摘しています。
Ivantiはアドバイザリを更新してCISAのKEVリストへのCVE追加を反映しましたが、これは「ハニーポットへの悪用試行」に基づくものだと指摘しています。
「CVE-2026-10520の悪用には管理ポート(8443)へのアクセスが必要であることを、顧客に理解していただくことが重要です。管理インターフェースはインターネットに公開すべきではありませんが、ハニーポットでは悪意ある行動を検知するために意図的に設定ミスが施されることが多いです」とIvantiは説明しています。
同社はまた、この脆弱性のCVSSスコアにかかわらず、実際のリスクはデプロイ方法や設定内容によって大幅に軽減されると強調しています。
CISAのKEVエントリにも反映されているIvantiの説明によると、EPMMで管理されているSentryアプライアンスでは脆弱なAPIがmTLSによって保護されており、管理されていないSentryインスタンスは本番環境では使用できないとしています。これは「デバイスの接続性と認証に関する設定をプッシュするのが管理機能であるため」と説明されています。
Neurons for MDMで管理されているSentryアプライアンスについては、デプロイ方法にかかわらず、脆弱なAPIへのインターネットアクセスを制限するよう同社は推奨しています。
翻訳元: https://www.securityweek.com/ivanti-sentry-exploitation-attempts-hitting-honeypots/
