Ivanti: Angreifer nutzen Schwachstelle nach PoC-Veröffentlichung aus

Juni behandelt. Die unter CWE-78 (OS Command Injection) klassifizierte Schwachstelle betrifft Versionen 10.5.1, 10.6.1, 10.7.0 und ältere gepatchte Versionen 10.5.2, 10.6.2 und 10.7.1 veröffentlicht, um das Problem zu beheben.

Obwohl Ivanti zum Zeitpunkt der Offenlegung keine aktive Ausnutzung bekannt war, folgten reale Angriffe rasch nach der Veröffentlichung des öffentlichen Exploit-Codes. Ausnutzung einer Schwachstelle für Command Injection bei Ivanti Shadowserver meldete einen Anstieg, die im gesamten Internet beobachtet wurden.

Laut wurden bei Scan-Aktivitäten mindestens 19 verwundbare Sentry-Instanzen identifiziert. Noch besorgniserregender ist, dass bei mindestens zwei dieser Systeme eine Hintertür bestätigt wurde, was einen erfolgreichen Kompromittierung belegt.

Sicherheitslage und Risiko

Forscher warnten, dass die tatsächliche Anzahl betroffener Systeme wahrscheinlich höher ist, da einige Instanzen aufgrund für externe Scans möglicherweise nicht erreichbar sind. „Wenn Sie nicht gepatcht haben, sind Sie höchstwahrscheinlich kompromittiert", Shadowserver und unterstrich dabei, wie schnell Angreifer die Schwachstelle zu einer Waffe gemacht haben.

Weitere Erkenntnisse deuten darauf hin, dass Angreifer Hintertüren installieren und bösartigen Code in kompromittierte Systeme einfügen.

Die Shadowserver Foundation hat begonnen, Indikatoren über ihre Meldesysteme für verwundbare HTTP-Server und kompromittierte Websites zu und betroffene Systeme mit Kennern wie „cve-2026-10520" und „ivanti-sentry,injected-code,backdoor" zu kennzeichnen. Basierend auf dem heute veröffentlichten Proof Concept beobachten wir eine große Anzahl CVE-2026-10520.

Technischer Hintergrund

In unseren eigenen Scans identifizierten wir 19 verwundbare Instanzen, mit Backdoors infiziert sind (Dank an @NCA_KSA für den Hinweis!). Alle übrigen Systeme sind ebenfalls höchstwahrscheinlich kompromittiert. — The Shadowserver Foundation (@Shadowserver), 10.

Juni 2026 Der schnelle Übergang unterstreicht einen wiederkehrenden Trend bei kritischen Schwachstellen Edge-Geräten: Sobald Details zur Ausnutzung öffentlich verfügbar sind, werden internetexponierte Systeme sofort zum Angriffsziel.

Die Ivanti Sentry wird Unternehmensumgebungen weit verbreitet für die sichere Verwaltung mobiler Geräte und E-Mails eingesetzt, wodurch sie ein hochattraktives Ziel für Angreifer darstellt, die einen ersten Zugang Unternehmensnetzwerken suchen.

Sicherheitslage und Risiko

Organisationen, die Ivanti Sentry einsetzen, werden dringend aufgefordert, unverzüglich auf eine gepatchte Version zu aktualisieren. Ivanti stellt aktualisierte Installationsbilder und Upgrade-Pakete über sein Kunden-Download-Portal bereit.

Sicherheitsteams sollten zudem Kompromittierungs-Assessments durchführen, einschließlich der Prüfung auf unbefugten Zugriff, verdächtige Prozesse und Persistenzmechanismen, insbesondere bei internetexponierten Appliances.

Angesichts des Vorhandenseins bestätigter Backdoors in der Wildnis werden Maßnahmen des Incident Response wie Credential-Rotation, Log-Analyse und System-Integritätsprüfungen auch nach dem Patchen empfohlen.

Der Vorfall unterstreicht die kritische Notwendigkeit einer schnellen Patchung und einer kontinuierlichen Überwachung der Edge-Infrastruktur, insbesondere Bedrohungsakteure die Ausnutzung neu offengelegter Schwachstellen zunehmend automatisieren. Sie uns auf