Ivanti heeft twee kritieke kwetsbaarheden in Sentry gedicht. Het gaat om CVE-2026-10520 (CVSS 10.0) en CVE-2026-10523 (CVSS 9,9). De eerste maakt het mogelijk dat een ongeauthenticeerde aanvaller op afstand willekeurige systeemcommando’s uitvoert met root-rechten. De tweede stelt een aanvaller in staat om zonder inloggegevens beheerdersaccounts aan te maken. Sentry fungeert als beveiligde gateway tussen mobiele apparaten en bedrijfsdiensten, waardoor de impact groot kan zijn. Ivanti heeft updates uitgebracht en dringt aan op snel patchen. (nvd.nist.gov)

De kern van het probleem bij CVE-2026-10520 zit in een interne configuratie-API (MICS). Die accepteert in kwetsbare versies commando’s zonder enige vorm van authenticatie. Onderzoekers van watchTowr publiceerden op 10 juni 2026 een technische analyse en werkende proof‑of‑concept, wat de drempel voor misbruik verlaagt. (labs.watchtowr.com)

Wie is geraakt? De lekken treffen Ivanti Sentry vóór de versies R10.5.2, R10.6.2 en R10.7.1. Updaten naar minimaal deze releases dicht de gaten. Diverse securityteams, onder meer binnen de Britse zorgsector, wijzen op die concrete versies als veilige ondergrens. (nvd.nist.gov)

Hoe kan dit op afstand worden misbruikt? In veel omgevingen is uitbuiting pas mogelijk als het beheerpad of de relevante API-poorten van Sentry onnodig aan internet zijn blootgesteld. In standaardopstellingen hoort Sentry in de DMZ te staan en is alleen het noodzakelijke (bijvoorbeeld HTTPS-verkeer voor ActiveSync of Tunnel) vanaf het internet toegankelijk; beheertoegang beperk je tot interne netwerken. Het blijft echter een bekend risico dat managementinterfaces per ongeluk toch publiek bereikbaar zijn. (help.ivanti.com)

Stand van zaken en verwachting. Ivanti meldde bij de aankondiging op 9 juni 2026 geen bewijs van actief misbruik. Kort daarna verscheen wel publiek PoC‑materiaal. Het NCSC waarschuwt dat de kans op misbruik hierdoor snel toeneemt en adviseert organisaties voortvarend te patchen. (scworld.com)

Aanbevolen acties, direct uitvoerbaar:

• Patch nu naar Sentry R10.5.2, R10.6.2 of R10.7.1 (of hoger). Plan dit desnoods buiten reguliere change‑windows om. (nvd.nist.gov)
• Controleer netwerktoegang: zorg dat beheer- en configuratie‑interfaces niet vanaf het internet bereikbaar zijn. Segmentatie en IP‑allowlists helpen. (help.ivanti.com)
• Zoek actief naar mogelijk misbruik: kijk in logs naar onbekende of recent aangemaakte adminaccounts (relevant voor CVE‑2026‑10523) en naar processen/commando’s die door de Sentry‑service zijn uitgevoerd. (vulnerability.circl.lu)
• Draai detectie‑ en preventieregels open. Diverse leveranciers hebben inmiddels specifieke IPS‑signatures en detecties voor deze CVE’s gepubliceerd. (advisories.checkpoint.com)
• Inventariseer je assets: breng alle Sentry‑exemplaren in kaart, inclusief eventuele test- of uitwijkomgevingen, en valideer hun versies en blootstelling. (runzero.com)

Achtergrond en context. Sentry is de opvolger van MobileIron Sentry en werd eerder al getroffen door een lek dat alleen misbruikbaar was als de admin‑poort (8443) publiek openstond. Ook nu geldt: wie beheerpoorten blootstelt, vergroot het risico drastisch. De huidige CVE‑paar is bovendien ernstiger, omdat één van de kwetsbaarheden volledig pre‑auth is en root‑RCE mogelijk maakt. (cert.europa.eu)

Kortom: update vandaag nog en dicht eventuele openstaande beheerpaden. De combinatie van hoge impact, lage complexiteit en publiek beschikbare PoC‑code maakt dit een “fix‑nu” dossier. (labs.watchtowr.com)

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.