2026年6月11日 CVSS 10.0 · 严重 · 正在积极利用 5分钟阅读 Ivanti Sentry（前身为 MobileIron Sentry）存在一个预认证的 OS 命令注入漏洞，允许远程攻击者执行 root 级代码。 CVSS 10.0，在实际中被积极利用，CISA KEV 列出，修复时限为 3 天。来自 watchTowr Labs 的公开 PoC 可用。以下是如何在您的网络中找到 Ivanti Sentry 设备。 漏洞 CVE-2026-10520（CWE-78：OS 命令注入）是 Ivanti Sentry 的 MICS 配置 API 中的最高严重性漏洞。/mics/api/v2/sentry/mics-config/handleMessage 端点接受未认证的 POST 请求，并通过 Java 反射直接将用户提供的输入传递给 OS 命令执行——无需凭据，无需用户交互，root 级访问。 CVSS：10.0 严重 (v3.1) — AV:N/AC:L/PR:N/UI:N/S:C — Ivanti 通知 CWE: CWE-78 (OS 命令注入) 受影响：在 R10.5.2、R10.6.2 和 R10.7.1 之前的 Ivanti Sentry 版本（所有 R10.5.x、R10.6.x、R10.7.x 版本） 修复：R10.5.2、R10.6.2、R10.7.1 被利用：已在实际中证实 — CISA KEV 列表 2026年6月11日 — 3天修复时限（6月14日） POC：来自 watchTowr Labs 的公开利用 攻击非常简单：发送带有精心构造的消息参数的 POST 请求，其中包含执行系统命令的内容。有效负载通过 Spring Boot REST 控制器进入一个配置处理程序，该处理程序解析 XML 格式的命令并通过 Java 反射执行它们。响应包括命令输出，使其成为一个具有即时反馈的完全读/写 RCE。 Ivanti Sentry 是什么？ Ivanti Sentry（前身为 MobileIron Sentry）是一个行内网关，管理、加密和保护移动设备与后端企业系统之间的流量。它通常位于 DMZ 中，控制 ActiveSync 邮件流量，并为 Microsoft Exchange 强制设备级访问决策，与 Ivanti Endpoint Manager Mobile (EPMM) 一起工作。攻陷 Sentry 可为攻击者提供进入邮件服务器、内部应用程序和更广泛企业网络的支点。 相关： CVE-2026-10523（身份验证绕过） 同一通知涵盖 CVE-2026-10523（CVSS 9.9） — 一个单独的身份验证绕过，允许远程未认证的攻击者创建任意管理账户并获得对 Sentry 设备的完全管理访问权限。这两个漏洞共享相同的受影响和修复版本。watchTowr 的 PoC 涵盖这两个 CVE。 调查工作流程 Ivanti Sentry 设备通常在直接连接到互联网的 DMZ 中部署——正是您期望攻击者可以访问的地方。鉴于存在公开的 PoC 和积极的利用，在您的网络上找到每个 Sentry 实例非常紧迫。以下是如何使用 RECON 来做到这一点。 1. 端口扫描：查找 Sentry 设备 Ivanti Sentry 默认在 8443 端口（HTTPS）上监听。扫描您的 DMZ 和边界子网以查找此端口。还要检查： • 8443 — Sentry HTTPS（主要 — MICS Web 应用程序） • 443 — 可能通过反向代理使用 • 9090 — Sentry 管理控制台（某些部署） 在 DMZ 段中，任何开放 8443 端口的主机都值得进一步调查。 2. TLS 检查：识别 Ivanti 证书 拉取 8443 端口上的 TLS 证书。Ivanti Sentry 设备通常使用具有以下识别特征的自签名证书： • 主题或发行人字段包含 Ivanti、MobileIron 或 Sentry • 最初签发给 MobileIron 的证书（收购前命名） • 在非标准 HTTPS 端口上的自签名证书 3. HTTP 头：指纹 MICS 应用程序 易受攻击的应用程序在 Tomcat 服务器上的 /mics 上下文路径下运行。探测： • /mics/login.jsp — Sentry 登录页面（返回 Spring Boot 应用程序响应） • 已修补的实例在访问易受攻击的端点时返回 302 重定向以登录；未修补的实例返回 200 • 响应头中的 Tomcat 和 Spring Boot 指标 • 登录页面和错误消息中的 Ivanti 或 MobileIron 品牌 4. DNS：发现 Sentry 基础架构 查询内部 DNS 以查找常见的 Sentry 命名模式：sentry-*、gateway-*、mobilegateway-*、mobile-security-*、mobileiron-*、ivanti-*。Sentry 设备通常与 EPMM 基础架构一起部署，因此请查找类似 epmm-* 或 mdm-* 的相关主机——它们可能指向同一部署。 5. CVE 查找：确认通知 使用 RECON 的 CVE 查找功能提取 CVE-2026-10520 的完整 NVD 条目。CISA KEV 列表带有 6 月 14 日的修复时限，这意味着联邦机构和遵循 BOD 26-04 的组织有 3 天的时间进行修复。检查 CVE-2026-10523 —— 这两个漏洞影响相同的版本，并需要相同的补丁。 与外部数据交叉参考 SHODAN：搜索 "MobileIron" port:8443 或 "Ivanti" port:8443 以查找暴露在互联网上的实例 CVE 查找：检查 NVD 中的 CVE-2026-10520 和 CVE-2026-10523 以获取更新的评分 CISA KEV：两个 CVE 列出 — 修复时限 2026年6月14日 IVANTI 通知：安全通知 — Ivanti Sentry 修复补丁