CVE-2026-10520

Суть уязвимости

CVE-2026-10520 представляет собой критическую уязвимость типа OS Command Injection (инъекция команд операционной системы) в Ivanti Sentry (ранее MobileIron Sentry). Проблема позволяет удаленному неавторизованному злоумышленнику выполнить произвольный код с правами суперпользователя (root). Уязвимость эксплуатируется в конфигурациях, где устройство находится в неуправляемом состоянии (unmanaged state), а его интерфейсы доступны из внешних сетей. Основной вектор атаки связан с отсутствием должной фильтрации входных данных в административных или сервисных эндпоинтах.

Как исправить

Единственным надежным способом устранения уязвимости является установка официального патча или обновление системы до актуальной версии, в которой данная ошибка исправлена.

1. Перейдите на портал поддержки Ivanti и загрузите соответствующий RPM-пакет или ISO-образ для вашей версии Sentry.
2. Выполните вход в CLI Ivanti Sentry под учетной записью администратора.
3. Переведите устройство в режим обслуживания.
4. Примените обновление с помощью команды:

software update install

1. После завершения установки перезагрузите устройство для применения изменений:

reload

Временные меры

Если немедленное обновление невозможно, необходимо ограничить поверхность атаки и изолировать уязвимые интерфейсы.

1. Настройте обязательную взаимную аутентификацию (mTLS) для взаимодействия с Ivanti Endpoint Manager Mobile (EPMM). Это предотвратит доступ неавторизованных лиц к эндпоинтам.
2. Ограничьте доступ к HTTPS-интерфейсам Sentry, разрешив подключения только с доверенных IP-адресов или через Ivanti Neurons for MDM.
3. Настройте правила межсетевого экрана (ACL) на внешнем периметре, чтобы закрыть доступ к портам управления Sentry из публичных сетей:

no ip http server

1. Убедитесь, что устройство переведено в управляемое состояние (managed state) через контроллер MDM, что активирует дополнительные механизмы проверки безопасности.