En bref

  • CVE-2026-10520 : injection de commandes OS pré-authentifiée dans Ivanti Sentry, CVSS 10.0, permettant l'exécution de code arbitraire avec les droits root sur le système hôte
  • Systèmes affectés : Ivanti Sentry versions antérieures à 10.5.2, 10.6.2 et 10.7.1 — passerelles mobiles enterprise exposées sur Internet ou en DMZ
  • Action urgente : patcher immédiatement vers Sentry 10.5.2, 10.6.2 ou 10.7.1 — CISA KEV depuis le 11 juin avec mandat de patch de 3 jours, backdooring actif de passerelles mobiles confirmé par Shadowserver

Les faits

Ivanti Sentry, la solution phare d'Ivanti pour la gestion des accès mobiles enterprise, est frappée par une vulnérabilité d'une sévérité maximale qui continue de générer des compromissions actives. CVE-2026-10520, publiée le 9 juin 2026 dans le cadre d'un avis de sécurité d'urgence d'Ivanti, atteint un score CVSS de 10.0 et permet à n'importe quel attaquant non authentifié disposant d'un accès réseau au serveur Sentry d'exécuter des commandes arbitraires avec les droits root sur le système sous-jacent. La vulnérabilité est activement exploitée depuis plusieurs semaines et continue de poser un risque extrême pour les organisations dont les instances ne sont pas encore patchées.

Sur le plan technique, CVE-2026-10520 est une injection de commandes OS (OS command injection) résidant dans la classe ConfigServiceController du composant web mics.war d'Ivanti Sentry. Le endpoint vulnérable accepte des requêtes HTTP POST à l'URL /mics/api/v2/sentry/mics-config/handleMessage sans aucune vérification d'authentification préalable. Les paramètres transmis dans le corps de la requête JSON sont passés directement à des fonctions d'exécution de commandes système sans filtrage, sanitization ou validation adéquats, permettant l'injection de commandes shell arbitraires exécutées avec les droits du processus Sentry — typiquement root sur les appliances Linux. WatchTowr Labs, qui a analysé et publié un proof-of-concept pour cette vulnérabilité le 10 juin 2026, décrit l'exploitation comme "triviale" une fois le bon endpoint identifié et la structure de la requête malveillante comprise.

Ivanti Sentry (anciennement MobileIron Sentry) est un composant critique des architectures de gestion des appareils mobiles en entreprise. Il agit comme une passerelle entre les appareils mobiles des employés (smartphones, tablettes) et les serveurs Exchange, ActiveSync et autres systèmes internes, gérant l'authentification, le chiffrement TLS et la politique d'accès pour les emails et applications mobiles d'entreprise. Un attaquant compromettant un serveur Sentry obtient par conséquent un accès privilégié à l'ensemble du trafic de messagerie mobile de l'organisation, aux identifiants d'authentification Active Directory en transit, aux certificats TLS et clés utilisés pour sécuriser ces échanges, et potentiellement aux configurations de proxy et de VPN mobile gérées par l'appliance.

La chronologie de la vulnérabilité révèle une escalade dramatiquement rapide entre divulgation et exploitation. Ivanti a publié son avis de sécurité le 9 juin 2026, accompagné de mises à jour corrigeant la faille. Dès le 10 juin, soit le lendemain, watchTowr Labs a publié une analyse technique complète incluant un PoC fonctionnel et des détails précis sur le endpoint vulnérable. Dans les 24 heures suivant la publication de ce PoC, l'organisation Shadowserver — qui monitore en continu l'exploitation de vulnérabilités à l'échelle Internet — a confirmé que des passerelles Sentry enterprise avaient déjà été backdoorées par des acteurs malveillants. Ce délai de moins de 24 heures entre publication d'un PoC et backdooring confirmé illustre la vitesse à laquelle les attaquants intègrent aujourd'hui les nouvelles vulnérabilités dans leurs opérations.

La réaction de la CISA a été sans précédent par sa rapidité et sa sévérité. Le 11 juin 2026, soit deux jours après la divulgation d'Ivanti, la CISA a ajouté CVE-2026-10520 à son catalogue KEV en émettant simultanément un mandat de patch de 3 jours pour les agences fédérales américaines — le délai le plus court jamais imposé par la CISA dans l'histoire de son programme KEV, selon plusieurs médias spécialisés dont TechTimes et SecurityWeek. Ce délai extraordinairement court reflète la gravité exceptionnelle de la situation : CVSS 10.0, sans authentification, PoC public, exploitation déjà active et backdooring confirmé sur des systèmes de production.

Le contexte Ivanti est particulièrement préoccupant car CVE-2026-10520 s'inscrit dans une longue série de vulnérabilités critiques affectant les produits de ce fournisseur depuis 2023. Des produits comme Ivanti Connect Secure (anciennement Pulse Secure), Ivanti Policy Secure et Ivanti EPMM ont tous été frappés par des vulnérabilités zero-day activement exploitées ces dernières années, souvent par des acteurs étatiques sophistiqués pour des opérations d'espionnage à grande échelle. CVE-2026-10520 confirme que Sentry souffre des mêmes problèmes architecturaux systémiques : validation insuffisante des entrées utilisateur au niveau des API REST, absence d'authentification sur des endpoints critiques, et gestion non sécurisée des appels système au niveau du code applicatif.

Les versions affectées couvrent toutes les branches actives d'Ivanti Sentry antérieures aux correctifs : toutes les versions antérieures à 10.5.2 sur la branche 10.5.x, toutes les versions antérieures à 10.6.2 sur la branche 10.6.x, et toutes les versions antérieures à 10.7.1 sur la branche 10.7.x. Ivanti a explicitement indiqué dans son avis de sécurité SA-2026-06-09 qu'aucune mitigation partielle n'existe pour cette vulnérabilité — la seule protection efficace est l'application du patch ou l'isolation complète du réseau de l'appliance Sentry (ce qui annule son utilité opérationnelle pour la mobilité enterprise).

La vulnérabilité accompagnatrice CVE-2026-10523, également de sévérité critique, a été divulguée dans le même avis de sécurité d'Ivanti et affecte les mêmes versions de Sentry. Elle exploite un mécanisme différent mais aboutit à des résultats similaires en termes d'impact. Les organisations qui appliquent les correctifs pour CVE-2026-10520 sont automatiquement couvertes contre CVE-2026-10523 par les mêmes mises à jour. La découverte simultanée de deux vulnérabilités critiques dans le même composant suggère la réalisation d'un audit de sécurité systématique, ce qui laisse présager que d'autres vulnérabilités pourraient être identifiées dans les mois à venir sur les produits Ivanti.

Impact et exposition

Ivanti Sentry est déployé dans des milliers d'organisations dans le monde, principalement dans des secteurs à haute réglementation — finance, santé, administration publique et secteur juridique — qui ont adopté des politiques BYOD (Bring Your Own Device) ou de gestion centralisée des appareils mobiles. Ces organisations utilisent Sentry précisément pour sécuriser les accès mobiles à leurs systèmes les plus sensibles, ce qui rend la compromission de Sentry particulièrement dévastatrice : l'attaquant accède non seulement au serveur Sentry lui-même, mais potentiellement à l'intégralité du trafic de messagerie mobile, aux identifiants d'authentification Active Directory en transit, et aux configurations de sécurité réseau mobile de l'organisation.

La surface d'attaque est large et le vecteur d'exploitation est simple et automatisable. Toute instance Sentry accessible sur le réseau — même depuis une DMZ interne — est exploitable sans authentification via une simple requête HTTP POST. Les outils de scan automatisé d'Internet (Shodan, Censys, Fofa) permettent aux attaquants d'identifier en quelques minutes toutes les instances Sentry exposées publiquement. Des scripts d'exploitation automatisés pour CVE-2026-10520 circulent dans des forums clandestins depuis la publication du PoC de watchTowr Labs, abaissant considérablement la barrière technique nécessaire pour exploiter cette vulnérabilité dans des campagnes d'opportunité à grande échelle.

Les organisations les plus exposées sont celles qui n'appliquent pas rapidement les patches Ivanti en raison de cycles de validation longs, de crainte d'interruption de service pour les utilisateurs mobiles, ou d'absence de procédure de patch d'urgence pour les équipements de sécurité réseau. Le fait que Sentry soit souvent positionné comme une infrastructure critique dont l'indisponibilité impacte tous les utilisateurs mobiles crée parfois une résistance organisationnelle au patching rapide — une résistance que les attaquants exploitent précisément en ciblant ces systèmes en priorité dans leurs campagnes.

Recommandations immédiates

  • Mettre à jour Ivanti Sentry vers la version 10.5.2, 10.6.2 ou 10.7.1 selon la branche utilisée — Ivanti Security Advisory SA-2026-06-09 (exploitation active, patch sans délai)
  • Si le patch immédiat est impossible : isoler l'appliance Sentry en restreignant l'accès HTTPS aux seules IP légitimes (appareils mobiles MDM-enrollés, serveurs de gestion), et bloquer au niveau pare-feu toutes les connexions vers le chemin /mics/api/ depuis des sources non répertoriées
  • Effectuer une investigation forensique sur les instances Sentry exposées : vérifier les nouveaux comptes système créés, les tâches cron ajoutées récemment, les processus inhabituels en cours d'exécution, et les connexions réseau sortantes vers des IP inconnues
  • Analyser les logs d'accès HTTPS de Sentry pour des requêtes POST vers /mics/api/v2/sentry/mics-config/handleMessage provenant d'adresses IP non autorisées — particulièrement depuis le 10 juin 2026 (date de publication du PoC)
  • Après application du patch, si une compromission ne peut être exclue : révoquer et renouveler tous les certificats et clés privées stockés sur l'appliance Sentry, et auditer les comptes de service associés à l'intégration Exchange et ActiveSync

⚠️ Backdooring actif confirmé, CVSS 10.0

CVE-2026-10520 est activement exploitée avec un CVSS de 10.0 sans authentification requise. Shadowserver a confirmé que des passerelles Sentry enterprise ont été backdoorées dans les 24 heures suivant la publication du PoC public. La CISA a émis un mandat de patch de 3 jours — le plus court de son histoire — pour les agences fédérales. Toute organisation n'ayant pas appliqué les correctifs doit considérer ses appliances Sentry comme potentiellement compromises et engager immédiatement une investigation forensique.

Comment savoir si je suis vulnérable ?

Connectez-vous à la console d'administration Ivanti Sentry (anciennement MobileIron Sentry UI) et vérifiez la version sous "About" ou "System Information". Si vous êtes sur une version antérieure à 10.5.2, 10.6.2 ou 10.7.1, vous êtes vulnérable. Depuis la ligne de commande de l'appliance (accès SSH administrateur), exécutez cat /etc/sentry-version pour afficher la version installée. Pour tester l'exposition réseau de manière non destructive, envoyez une requête OPTIONS vers /mics/api/v2/sentry/mics-config/ — si le serveur répond sans redirection vers une page d'authentification, le endpoint est accessible sans authentification et le système est probablement vulnérable.

Vos gateways mobiles Ivanti sont-elles exposées ?

Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.

Demander un audit