En bref

  • CVE-2026-10520 est une faille d'injection de commande OS affectant Ivanti Sentry (CVSS 10.0) : elle permet à un attaquant distant non authentifié d'exécuter du code arbitraire avec les privilèges root sur les passerelles mobiles d'entreprise exposées sur Internet.
  • Les versions Ivanti Sentry 10.5.1, 10.6.1 et 10.7.0 (et antérieures) sont concernées ; des patches (10.5.2, 10.6.2, 10.7.1) sont disponibles depuis le 10 juin 2026, mais l'exploitation active a démarré quasi immédiatement après la publication d'un proof-of-concept public.
  • La CISA a ajouté CVE-2026-10520 à son catalogue KEV le 11 juin 2026 avec une date limite de remédiation fixée au 14 juin pour les agences fédérales — les organisations privées doivent traiter ce patch en urgence absolue.

Une vulnérabilité CVSS 10.0 dans Ivanti Sentry activement exploitée dès la publication du PoC

Le 10 juin 2026, Ivanti a divulgué CVE-2026-10520, une vulnérabilité critique de type injection de commande OS affectant sa solution Ivanti Sentry, anciennement connue sous le nom MobileIron Sentry. Le score CVSS attribué est de 10.0, le maximum de l'échelle, ce qui en fait l'une des failles les plus graves révélées en 2026 dans le segment des passerelles mobiles d'entreprise. La vulnérabilité réside dans le composant d'administration de l'appliance : un attaquant distant non authentifié peut injecter des commandes système arbitraires qui s'exécutent avec les privilèges root sur le système hôte, sans nécessiter aucune interaction utilisateur.

Ivanti Sentry joue un rôle stratégique dans les architectures de sécurité mobile des grandes entreprises et administrations. Déployé en passerelle entre les terminaux mobiles gérés par une solution MDM (Mobile Device Management) et les systèmes d'information backend — Microsoft Exchange, SharePoint, ou d'autres applications d'entreprise — Ivanti Sentry proxy, authentifie et chiffre les communications mobiles. Sa position en bordure de réseau, exposée sur Internet, et sa capacité à accéder aux données applicatives internes en font une cible de première importance pour les attaquants cherchant un point d'entrée ou de pivot vers les systèmes internes.

Les versions vulnérables identifiées par Ivanti sont 10.5.1, 10.6.1, 10.7.0 et toutes les versions antérieures. Des patches correctifs ont été publiés simultanément : versions 10.5.2, 10.6.2 et 10.7.1. Ivanti recommande une mise à jour immédiate. À titre de mesure d'atténuation temporaire dans les environnements où le patch ne peut être appliqué immédiatement, les équipes de sécurité sont invitées à isoler le port d'administration — typiquement le port 8443 — derrière un réseau de management dédié, inaccessible depuis Internet ou les zones non approuvées.

La fenêtre entre la publication du patch et le début de l'exploitation active a été extrêmement courte. Selon Help Net Security, qui a couvert la faille dès le 10 juin, un proof-of-concept (PoC) technique détaillant la méthode d'exploitation a été rendu public par des chercheurs en sécurité dans les jours suivant la divulgation. La Shadowserver Foundation a rapidement confirmé observer un volume significatif de scans et d'exploitation basés sur ce PoC. Parmi les 19 instances vulnérables Ivanti Sentry que la fondation surveillait au moment du signalement, au moins deux présentaient déjà des marqueurs de compromission avérée : des backdoors avaient été installées par les attaquants, leur permettant de maintenir un accès persistant même après l'application d'un éventuel patch.

Sur le plan technique, l'injection de commande OS ciblée par CVE-2026-10520 s'appuie sur une validation insuffisante des paramètres transmis à l'API d'administration d'Ivanti Sentry. Un attaquant peut envoyer une requête HTTP spécialement forgée à cette API, sans authentification préalable, en incluant des métacaractères shell dans les champs concernés. Le serveur backend exécute alors la commande injectée en tant que root. La PoC publiée démontre notamment la possibilité d'écrire des fichiers arbitraires sur le système de fichiers, d'exécuter des binaires malveillants, ou de créer des tunnels de communication sortants — autant de primitives permettant de construire un accès persistant complet.

La réponse institutionnelle a été rapide. Dès le 11 juin 2026, l'Agence américaine de cybersécurité (CISA) a ajouté CVE-2026-10520 à son catalogue des vulnérabilités connues exploitées (KEV). Ce catalogue, créé dans le cadre de la directive opérationnelle contraignante BOD 22-01, impose aux agences civiles fédérales (FCEB) d'appliquer les correctifs listés avant la date limite indiquée. Pour CVE-2026-10520, cette date limite a été fixée au 14 juin 2026 — soit seulement 72 heures environ après l'inscription au catalogue, un délai particulièrement court qui reflète la gravité et l'urgence de la menace.

Les données de scanning passif disponibles sur Shodan et Censys révèlent que des centaines d'instances Ivanti Sentry sont exposées directement sur Internet sans filtrage d'accès au port d'administration. Cette exposition découle souvent d'erreurs de configuration initiale ou de contraintes opérationnelles jamais corrigées. Les secteurs de la santé, de la finance et des administrations publiques, qui disposent traditionnellement des flottes mobiles les plus importantes et utilisent massivement les solutions MDM couplées à Ivanti Sentry, sont particulièrement exposés.

Pour les équipes SOC et les responsables de la sécurité informatique, la chronologie de cet incident illustre à nouveau la compression dramatique des délais d'exploitation qui caractérise le paysage des menaces en 2026. L'ère où une organisation disposait de plusieurs semaines après la publication d'un patch pour se mettre en conformité est révolue pour les composants exposés sur Internet — en particulier les équipements de type edge device tels qu'Ivanti Sentry.

Ivanti et le cycle répété des vulnérabilités critiques sur les équipements périphériques

CVE-2026-10520 n'est pas un incident isolé dans l'histoire récente d'Ivanti. La société a été confrontée à une série de vulnérabilités critiques dans ses produits phares — Ivanti Connect Secure, Ivanti Policy Secure, Ivanti EPMM et maintenant Sentry — qui ont toutes été exploitées activement, souvent par des acteurs étatiques ou des groupes APT sophistiqués. En 2024 et 2025, plusieurs zero-days Ivanti avaient déjà été ciblés par des groupes liés à des États-nations pour accéder à des infrastructures gouvernementales et d'entreprise sensibles à l'échelle mondiale. Ce pattern récurrent interpelle sur la sécurité de l'architecture logicielle d'Ivanti et sur ses pratiques de revue de code et de tests de sécurité internes.

Dans le contexte plus large de la sécurité des équipements réseau périphériques (edge devices), CVE-2026-10520 s'inscrit dans une tendance structurelle préoccupante. Les passerelles VPN, les équipements MDM, les firewalls nouvelle génération et les reverse proxies sont devenus les cibles préférées des attaquants en 2025-2026. Ils cumulent trois caractéristiques qui les rendent attractifs : une exposition directe sur Internet, des privilèges élevés sur les systèmes qu'ils servent, et des cycles de mise à jour souvent moins disciplinés que les applications web classiques. L'absence de systèmes de détection d'intrusion (IDS) efficacement configurés pour surveiller les accès à ces interfaces d'administration aggrave la situation.

Pour les équipes de sécurité, la gestion des équipements Ivanti est devenue un sujet particulièrement sensible. Plusieurs fournisseurs de threat intelligence ont développé des signatures de détection spécifiques pour identifier les tentatives d'exploitation des vulnérabilités Ivanti dans les logs réseau. La mise en place d'une surveillance renforcée des accès à l'interface d'administration d'Ivanti Sentry — même après application du patch — est recommandée pour détecter d'éventuelles compromissions antérieures non encore identifiées.

Sur le plan réglementaire, l'ajout de CVE-2026-10520 au catalogue KEV de la CISA s'accompagne d'implications au-delà du seul périmètre américain. En Europe, la directive NIS2 et le règlement DORA imposent des délais de remédiation stricts pour les vulnérabilités critiques sur les systèmes essentiels. Les organisations relevant du champ d'application de NIS2 qui utilisent Ivanti Sentry dans leurs chaînes d'accès aux systèmes d'information doivent traiter ce patch comme prioritaire et documenter les actions prises pour leurs obligations de reporting de sécurité.

Ce qu'il faut retenir

  • CVE-2026-10520 (CVSS 10.0) dans Ivanti Sentry permet un RCE root non authentifié — appliquer immédiatement les versions 10.5.2, 10.6.2 ou 10.7.1 et isoler le port d'administration (8443) derrière un réseau de management dédié.
  • L'exploitation active est confirmée, avec au moins deux instances déjà compromises par des backdoors selon la Shadowserver Foundation — une vérification forensique des accès récents à l'interface d'administration est recommandée.
  • La CISA impose une remédiation avant le 14 juin 2026 pour les agences fédérales ; les organisations privées, notamment dans les secteurs santé et finance, doivent traiter cette faille avec le même niveau d'urgence.

Comment vérifier si mon instance Ivanti Sentry est exposée et potentiellement compromise ?

Commencez par vérifier depuis l'extérieur si le port 8443 de votre appliance Ivanti Sentry est accessible depuis Internet. Comparez votre version installée avec les versions vulnérables (10.7.0 et antérieures) et appliquez immédiatement les patches 10.5.2, 10.6.2 ou 10.7.1. Pour détecter une éventuelle compromission préalable, analysez les logs d'accès à l'interface d'administration pour identifier des requêtes anormales, des créations de fichiers inattendues ou des connexions sortantes inhabituelles. La Shadowserver Foundation envoie des notifications aux propriétaires d'AS concernant les instances vulnérables détectées — inscrivez-vous à ce service si ce n'est pas déjà fait.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact