Eine kritische Sicherheitslücke in Ivanti Sentry wird bereits aktiv ausgenutzt. Weniger als zwei Tage nach dem Patch tauchten erste gekaperte Systeme auf, und Sicherheitsforscher beobachten breite Angriffe.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen
Die Lücke in Ivanti Sentry trägt den höchstmöglichen CVSS-Wert von 10.0. Ein nicht angemeldeter Angreifer aus dem Internet kann darüber Befehle mit Root-Rechten auf dem Gerät ausführen, ganz ohne Zugangsdaten.
Das Wichtigste in Kürze
- CVE-2026-10520 ist eine OS-Command-Injection mit CVSS 10.0 und erlaubt unauthentifizierte Befehlsausführung als Root.
- Die zweite Lücke CVE-2026-10523 mit CVSS 9.9 lässt Angreifer beliebige Admin-Konten anlegen; jede der beiden reicht für eine vollständige Übernahme.
- Betroffen sind Ivanti Sentry 10.5.1, 10.6.1, 10.7.0 und früher; Patches stehen mit 10.5.2, 10.6.2 und 10.7.1 bereit.
Wie kritisch ist die Lage?
Aktiv ausgenutzt. Ivanti veröffentlichte das Advisory am 9. Juni 2026, einen Tag später folgte von watchTowr Labs eine technische Analyse samt funktionierendem Exploit-Code. Innerhalb von 48 Stunden meldete die Shadowserver Foundation erste gekaperte Geräte, darunter mehrere mit eingebauter Hintertür.
Der verwundbare Endpunkt nimmt POST-Anfragen ohne jede Anmeldung an und reicht die Eingabe direkt an einen System-Befehl weiter. Die Hersteller-Details stehen im Ivanti-Advisory.
Warum ist Sentry so ein lohnendes Ziel?
Sensible Position. Ivanti Sentry, früher MobileIron Sentry, sitzt direkt zwischen der mobilen Geräteflotte eines Unternehmens und den Backend-Systemen wie Exchange. Mit der Übernahme des Geräts erreicht ein Angreifer eine zentrale Schaltstelle im Netz.
Internet-erreichbare Systeme ohne Authentifizierung geraten erfahrungsgemäß schnell ins Visier, sobald ein Exploit kursiert. Genau dieses Muster bestätigt sich hier. Die allgemeine Bedrohungslage ordnet unser Überblick zu den Cybersecurity-Grundlagen ein.
Eine Lücke mit Höchstwertung, ein öffentlicher Exploit und ein Gerät an zentraler Stelle: Diese Kombination duldet keinen Aufschub. Patchen Sie heute und durchsuchen Sie das System danach nach Spuren eines Einbruchs.
— Markus Seyfferth, Chefredakteur Dr. Web
Was sollten Sie jetzt tun?
Sofort patchen. Spielen Sie umgehend die abgesicherten Versionen 10.5.2, 10.6.2 oder 10.7.1 ein. Da bereits Systeme mit Hintertüren auftauchen, reicht das Patchen allein nicht aus.
Prüfen Sie nach dem Update, ob Ihr Gerät Anzeichen einer Kompromittierung zeigt, etwa unbekannte Administrator-Konten oder ungewöhnliche Prozesse. Nehmen Sie betroffene Sentry-Systeme im Zweifel kurzzeitig vom Netz und ziehen Sie für die Forensik Ihr Incident-Response-Team hinzu. Für NIS2-pflichtige Betriebe gehört ein solcher Vorfall in die Meldekette.
