CVE-2026-10520 : Ivanti Sentry RCE pré-auth CVSS 10.0

Les faits

Le 10 juin 2026, Ivanti a publié un avis de sécurité d'urgence concernant CVE-2026-10520, une vulnérabilité d'injection de commandes OS affectant Ivanti Sentry. La faille obtient le score CVSS 4.0 maximal de 10.0 avec le vecteur AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H, ce qui en fait l'une des vulnérabilités les plus critiques de l'année 2026. Ivanti Sentry est une passerelle de sécurité mobile déployée dans les grandes entreprises pour gérer, chiffrer et sécuriser le trafic entre les appareils mobiles et les systèmes d'information internes. Des centaines d'organisations Fortune 500 s'appuient sur cette appliance comme périmètre de sécurité mobile.

La vulnérabilité réside dans la classe ConfigServiceController de l'application web Sentry. Le point d'entrée est l'endpoint non authentifié /mics/api/v2/sentry/mics-config/handleMessage, accessible via des requêtes HTTP POST sans aucune authentification. Cet endpoint accepte un paramètre message censé traiter des commandes de configuration internes. En raison d'une absence totale de contrôle d'authentification et de validation des entrées, un attaquant distant peut injecter des commandes OS arbitraires dans ce paramètre, exécutées avec des privilèges root.

Le mécanisme technique précis a été documenté par les chercheurs de watchTowr Labs, qui ont publié une analyse détaillée accompagnée d'un proof-of-concept le 10 juin 2026. Le flux d'attaque fonctionne ainsi : le paramètre message est analysé en composants internes (commande, module, XPath, valeur). Lorsque la commande correspond à la valeur "execute", le flux entre dans la fonction handleExecute(), qui invoque directement des commandes système natives sans aucune sanitisation des caractères spéciaux. Un attaquant peut injecter des méta-caractères shell — pipes (|), points-virgules (;), substitutions de commandes ($()) ou backticks — pour chaîner des commandes OS arbitraires.

Les conditions d'exploitation sont particulièrement alarmantes : aucune authentification n'est requise, aucune interaction utilisateur n'est nécessaire, et la complexité d'attaque est faible. L'attaquant n'a besoin que d'une connectivité réseau vers le port de gestion de l'appliance Sentry (généralement le port 443 HTTPS). Une requête HTTP POST malveillante vers l'endpoint vulnérable avec des méta-caractères shell dans le paramètre message suffit à déclencher l'exécution de commandes arbitraires. Cette simplicité d'exploitation, combinée au score CVSS parfait, explique la rapidité de la weaponisation observée dans les heures suivant la publication du PoC par watchTowr Labs.

La Shadowserver Foundation a confirmé une exploitation active dans les heures suivant la publication du PoC. Sur 19 instances Sentry exposées sur Internet et analysées, au moins 2 avaient déjà été compromises avec des mécanismes de persistance installés — des backdoors permettant un accès ultérieur persistant à l'attaquant. Cette rapidité d'exploitation, moins de 24 heures entre la publication du PoC et les premières compromissions confirmées, illustre la menace immédiate. D'après les observations de Rapid7 publiées dans leur ETR (Emergent Threat Response) CVE-2026-10520, des scans automatisés à grande échelle ont débuté quasi simultanément à la divulgation.

Les acteurs malveillants ciblent prioritairement les appliances Sentry exposées directement sur Internet, selon BleepingComputer. La compromission d'une passerelle Sentry donne accès au trafic mobile chiffré, aux tokens de session, et aux credentials des utilisateurs mobiles en transit. Un attaquant peut usurper l'identité d'appareils mobiles légitimes et accéder à l'ensemble des ressources enterprise protégées : serveurs Exchange, VPN d'entreprise, applications métier. L'accès root obtenu permet également de modifier les politiques de sécurité et de désactiver la journalisation pour effacer les traces.

Ivanti a également corrigé simultanément CVE-2026-10523, une seconde vulnérabilité critique dans Sentry avec un score CVSS de 9.9, qui permet une lecture arbitraire de fichiers via l'interface de configuration. Les deux failles peuvent être chaînées pour maximiser l'impact : CVE-2026-10523 en première étape pour exfiltrer des fichiers de configuration sensibles, puis CVE-2026-10520 pour obtenir l'exécution de code. L'avis de sécurité officiel est l'Ivanti Security Advisory SVA-2026-10520, publié le 10 juin 2026.

Selon NVD/NIST, CVE-2026-10520 est classifiée CWE-78 (Improper Neutralization of Special Elements used in an OS Command). La faille touche Ivanti Sentry dans ses branches 10.5.x (jusqu'à 10.5.1 inclus), 10.6.x (jusqu'à 10.6.1 inclus), et 10.7.x (uniquement 10.7.0). Les versions corrigées sont respectivement 10.5.2 (build 10.5.2-3), 10.6.2 (build 10.6.2-4), et 10.7.1 (build 10.7.1-3). Les versions antérieures à 10.5.0 ne sont plus supportées et doivent être considérées vulnérables sans patch disponible — une migration vers une version supportée est impérative pour ces environnements.

Impact et exposition

Ivanti Sentry est déployé comme passerelle de périmètre dans des milliers d'entreprises mondiales, notamment dans les secteurs de la finance, de la santé, du gouvernement et des infrastructures critiques. En tant que composant central de gestion des appareils mobiles (MDM), Sentry détient des credentials de haute valeur pour les systèmes backend. Une compromission accorde à l'attaquant la capacité d'intercepter et déchiffrer le trafic mobile, d'usurper l'identité d'appareils légitimes, de voler des credentials stockés, et d'effectuer des mouvements latéraux vers l'ensemble du réseau interne.

L'exposition est particulièrement large car de nombreuses organisations exposent leur Sentry directement sur Internet pour permettre aux équipes mobiles d'accéder aux ressources d'entreprise depuis l'extérieur. D'après le suivi de Shodan et Censys, plusieurs centaines d'instances Sentry sont accessibles publiquement. La nature non authentifiée de l'exploitation signifie que des script kiddies utilisant le PoC public peuvent compromettre ces systèmes sans compétences techniques avancées.

L'exploitation active confirmée place CVE-2026-10520 dans la catégorie des urgences absolues. Des groupes ransomware et des acteurs étatiques ciblent historiquement les produits Ivanti très rapidement après divulgation : CVE-2025-0282 et CVE-2024-21887 (Ivanti Connect Secure) avaient été exploitées en 0-day par des groupes APT. La présence de backdoors déjà installés sur des instances compromises suggère que certains acteurs sophistiqués pourraient avoir eu connaissance de la faille avant la divulgation publique. Toute organisation utilisant Sentry sans patch appliqué doit considérer une compromission potentielle et lancer une investigation forensique immédiatement.

Recommandations immédiates

• Appliquer immédiatement les correctifs hors fenêtre de maintenance : Sentry 10.5.2-3, 10.6.2-4, ou 10.7.1-3 — advisory : Ivanti Security Advisory SVA-2026-10520
• Isoler les instances non patchées du réseau Internet — filtrer l'accès à l'endpoint /mics/api/v2/sentry/mics-config/ via pare-feu ou WAF en urgence
• Analyser les logs d'accès depuis le 8 juin 2026 pour des requêtes POST anormales vers /mics/api/v2/sentry/mics-config/handleMessage
• Vérifier l'intégrité des appliances Sentry : nouveaux crontabs, services récents, fichiers modifiés dans /etc/, /tmp/, /var/
• Révoquer et renouveler tous les credentials stockés dans Sentry si une compromission est suspectée
• Corriger CVE-2026-10523 simultanément — le même patch corrige les deux failles