首页 / 新闻动态 / Ivanti Sentry曝CVSS 10.0满分漏洞CVE...

Ivanti Sentry曝CVSS 10.0满分漏洞CVE-2026-10520:CISA紧急限令3天修复,今日到期仍在被攻击

📅 2026-06-14 00:00:00 | 👁️ 阅读 46 | 📂 新闻动态

漏洞概述:一个命令注入漏洞,为何让CISA如此紧张

2026年6月11日,美国网络安全与基础设施安全局(CISA)发布紧急指令,要求联邦民事行政部门在3天内——即6月14日前——必须修复Ivanti Sentry安全网关中的一个操作系统命令注入漏洞。这是CISA新版《绑定操作指令BOD 26-04》框架下首个被处理的漏洞,也是今年首个获得"满分"CVSS评分且被要求限期修复的安全事件。

该漏洞编号为CVE-2026-10520,CVSS 3.1评分10.0(满分),攻击向量为AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H——翻译成通俗语言就是:从互联网发起攻击、无需任何认证、无需用户交互、可完全控制目标系统。更令人担忧的是,该漏洞已在野利用,公开的PoC代码正在加速攻击扩散。

技术分析:从命令注入到root级RCE

漏洞原理

CVE-2026-10520的核心问题在于Ivanti Sentry(前身为MobileIron Sentry)对用户输入的过滤不充分。攻击者可以通过构造特定的HTTP请求,将操作系统命令注入到Sentry的处理逻辑中。由于Sentry服务运行在root权限下,注入的命令也以root身份执行,从而实现完全的远程代码执行(RCE)。

值得特别关注的是该漏洞的S:C(影响范围改变)属性——这意味着攻击不仅限于Sentry组件本身,还可能影响到同一服务器上的其他资源,甚至成为内网横向移动的跳板。

受影响版本

版本范围状态
低于 R10.5.2 的所有版本⚠️ 受影响
R10.6.0(含)至 R10.6.2(不含)⚠️ 受影响
R10.7.0⚠️ 受影响
R10.5.2 及以上(非10.6.0-10.6.1)✅ 已修复
R10.6.2 及以上✅ 已修复

攻击链路推演

根据watchTowr实验室发布的技术分析,攻击者可以按照以下路径实施攻击:

  1. 侦察阶段:通过Shodan等工具搜索互联网暴露的Ivanti Sentry实例(通常开放在特定端口)
  2. 漏洞利用:发送包含OS命令的特制HTTP请求,利用命令注入缺陷获取root shell
  3. 持久化:在受控服务器上安装后门程序,确保即使漏洞被修复也能维持访问
  4. 横向移动:以Sentry为跳板,向内网其他系统发起攻击

在野利用态势:PoC公开后攻击激增

Ivanti最初发布安全更新时表示"未发现主动利用证据",但安全研究人员随后观察到了大量针对暴露Sentry部署的攻击尝试。公开可用的概念验证(PoC)代码显著加速了对未修补系统的攻击——从PoC公开到大规模利用的间隔已缩短至数小时。

安全监控机构报告,扫描和利用活动出现了明显激增。部分被入侵的系统上已被安装了后门,攻击者借此维持持久访问。对于企业而言,这意味着即使今天打上了补丁,如果系统此前已被攻陷,仅仅修补漏洞是不够的——还需要全面的威胁狩猎和日志审计。

CISA紧急指令解读:BOD 26-04首秀

此次紧急指令援引的是CISA新发布的《绑定操作指令BOD 26-04:基于风险优先处理安全更新》,该指令取代了此前的BOD 22-01。新框架的核心变化在于:

  • 基于风险的优先级:不再要求所有KEV漏洞统一在限定时间内修复,而是根据风险等级差异化处置
  • 攻陷检查前置:明确要求在应用补丁前先检查系统是否已被威胁行为者攻陷
  • 3天限期触发标准:同时满足"存在主动利用+互联网暴露+大规模攻击潜力+可完全接管系统"四个条件的漏洞才触发3天限期

CVE-2026-10520恰好满足全部四个条件——它是BOD 26-04框架下的"标杆案例"。所有组织(不限于联邦机构)都被强烈建议采用同样的基于风险的漏洞管理策略。

企业应对:三阶段紧急响应方案

第一阶段:立即行动(24小时内)

  • 清点所有Ivanti Sentry部署,确认版本号和互联网暴露情况
  • 对受影响版本立即应用Ivanti官方补丁(升级至R10.5.2/R10.6.2/R10.7.1及以上)
  • 如无法立即打补丁,考虑临时将Sentry从互联网隔离

第二阶段:深度排查(48小时内)

  • 审查Sentry系统日志,排查异常活动迹象(可疑HTTP请求、异常进程、非预期出站连接)
  • 检查是否有后门或未授权账户被创建
  • 对与Sentry同网段的系统进行威胁狩猎

第三阶段:持续加固

  • 建立Ivanti产品安全更新快速响应机制——该厂商近年已多次出现高危漏洞
  • 将安全网关类设备纳入持续监控范围
  • 完善漏洞管理流程,参考CISA BOD 26-04框架建立基于风险的优先级体系

为什么Ivanti产品频发高危漏洞

这并非Ivanti第一次因高危漏洞登上新闻头条。近年来,CISA已将数十个Ivanti漏洞添加至KEV目录,多个漏洞与勒索软件攻击和高级网络间谍活动相关联。从CSA的Connect Secure系列到Sentry,Ivanti的多条产品线都曾出现严重安全问题。

这一现象背后折射出一个行业共性问题:安全网关类产品本身成为了攻击面。这类产品通常部署在网络边界,直接暴露在互联网上,一旦存在漏洞,影响就是灾难性的。企业在选择此类产品时,除了功能评估,更应将厂商的安全响应速度和历史漏洞记录作为核心考量因素。

对中小企业IT管理的启示

作为北京地区专业的IT外包服务商,我们在服务客户过程中发现,很多中小企业对安全网关类设备的关注严重不足。典型问题包括:

  • 设备部署后"装完不管",长期不更新固件和补丁
  • 缺乏对互联网暴露资产的持续监控
  • 没有建立漏洞应急响应流程
  • 认为"我们公司小,不会被盯上"——实际上自动化攻击工具不分大小

CVE-2026-10520再次印证了一个事实:在自动化攻击时代,任何暴露在互联网上的脆弱系统都会被快速发现和利用。企业需要的是主动防御,而非被动等待。

如果您需要针对Ivanti Sentry漏洞的专业排查和加固支持,或希望对企业的IT安全状况进行全面评估,欢迎通过我们的网站留言板联系咨询。

💬 评论 (0)