パッチ適用をたった1日遅らせるだけで、企業のセキュリティゲートウェイが攻撃者にとって格好の侵入口と化してしまいます。Shadowserverの専門家は最近、重大なIvanti Sentryの脆弱性を狙った大規模な悪用試みを報告しました。この脆弱性により、攻撃者はインターネットに公開されたデバイス上でroot権限によるコマンド実行が可能になります。
CVE-2026-10520の脅威
この脆弱性はCVE-2026-10520という識別子が付与されており、最大深刻度スコア10.0を記録しています。この重大な欠陥は、OSコマンドインジェクションの脆弱性に起因しています。Ivantiは6月9日、SentryのバージョンR10.5.2、R10.6.2、R10.7.1をリリースし、この問題に対処しました。パッチ公開時点では、顧客環境での悪用を示す証拠は確認されていないと同社は発表していました。
しかし、翌日には状況が一変していたことをShadowserverが明らかにしました。攻撃者たちは公開されている概念実証(PoC)コードを素早く展開し、インターネットに露出したIvanti Sentryゲートウェイへの感染を積極的に試みました。初期スキャンで専門家が確認した脆弱なデバイスは19台でしたが、そのうち少なくとも2台はすでに侵害されていました。さらに、残りの露出したゲートウェイについても攻撃者にすでに侵入されている可能性が高いと、Shadowserverの専門家は見ています。
Ivanti Sentryが持つ戦略的価値
Ivanti SentryはかつてMobileIron Sentryという名称で知られていたゲートウェイ製品です。企業の内部ネットワークとリモートのモバイルエンドポイント間の通信を保護し、データ伝送を厳重に守る役割を担っています。そのため、このゲートウェイへの侵害が成功した場合、その影響は極めて深刻です。このデバイスは企業インフラの境界線上に直接配置されており、侵害されれば攻撃者は社内リソースへの直接的な経路を手にすることになります。
隠されたゲートウェイと高まる危険性
Shadowserverはこの事態に関して、さらに緊急の警告を発表しました。脆弱なゲートウェイの実際の数は、現在の推計を大幅に上回る可能性があります。多くのデバイスが公開スキャンエンジンから意図的に隠されており、管理者が検索・検証システムをブロックしているものと考えられます。同組織は、対応が遅れた防御側に向けて厳しい現実を明言しています。パッチを適用していないIvanti Sentryを所有するユーザーは、すでにネットワーク侵害が進行している可能性が高いとのことです。
現時点でIvantiは元のセキュリティアドバイザリを更新していません。公式の情報では依然として、実際の悪用事例は確認されていないとしています。
繰り返される悪用の歴史
悪意ある攻撃者たちは、Ivantiのソフトウェア製品を繰り返し標的にしてきました。これらの複雑なシステムは高い価値を持つセキュリティ上の欠陥を含んでいることが多く、悪用に成功すれば企業ネットワークへの侵入を果たし、機密性の高いデータに到達できます。近年、CISAはIvantiの脆弱性34件を「悪用が確認された脆弱性(KEV)カタログ」に登録しています。さらに懸念されるのは、そのうち12件がランサムウェア集団による攻撃で実際に兵器化されたという事実です。
防御側が取るべき緊急対応策
Ivanti Sentryを管理している管理者は、直ちに行動を起こす必要があります。バージョンR10.5.2、R10.6.2、またはR10.7.1をすぐにインストールしてください。加えて、セキュリティチームはすべてのデバイスについて侵害の痕跡を徹底的に調査しなければなりません。大規模な悪用が始まった後でパッチを適用するだけでは、多くの場合、十分な対策とはなりません。攻撃者がすでに永続的なアクセスを確立している場合、単なるアップデートでは排除できないためです。
翻訳元: https://meterpreter.org/ivanti-sentry-critical-vulnerability/