12 ore senza patch? Oggi sono troppe e ce lo insegnano i nuovi bug critici

Una vulnerabilità critica in Ivanti Sentry, identificata con CVE-2026-10520, ha permesso agli aggressori di eseguire comandi con diritti di root su dispositivi accessibili da Internet. Shadowserver ha segnalato tentativi massicci di sfruttare questa falla, compromettendo il perimetro aziendale in pochi giorni. Ivanti ha rilasciato patch correttive ma non ha ancora aggiornato l'avviso sui casi di sfruttamento.

12 ora di aggiornamento mancato, oggi potrebbe trasformarsi in un facile punto di ingresso per gli aggressori. Gli specialisti di Shadowserver hanno segnalato massicci tentativi di sfruttare una vulnerabilità critica in Ivanti Sentry, che consente di eseguire comandi con diritti di root sui dispositivi accessibili da Internet.

Parliamo del bug di sicurezza monitorato con il codice CVE-2026-10520 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H – 10.0 Critico) e associato all’implementazione dei comandi del sistema operativo. Ivanti ha risolto la vulnerabilità il 9 giugno, rilasciando le versioni Sentry R10.5.2, R10.6.2 e R10.7.1.

Al momento della pubblicazione delle correzioni, Ivanti ha dichiarato di non aver riscontrato segni di attacchi verso i propri clienti. Ma purtroppo, i Il giorno successivo Shadowserver ha mostrato un’immagine diversa.

Secondo l’organizzazione, gli aggressori hanno iniziato ad infettare i gateway Ivanti Sentry disponibili sulla rete. Durante la scansione gli specialisti hanno individuato 19 dispositivi vulnerabili, di cui almeno 2 gli aggressori erano già riusciti a violarli. Allo stesso tempo, Shadowserver ritiene che anche gli altri, molto probabilmente, potrebbero essere stati compromessi o lo saranno a breve.

Ivanti Sentry, precedentemente noto come MobileIron Sentry, protegge le comunicazioni tra i sistemi aziendali interni e i dispositivi mobili remoti. Ecco perché un attacco riuscito contro un gateway di questo tipo è particolarmente pericoloso.

Il dispositivo si trova ai margini dell’infrastruttura aziendale e può aprire la strada alle risorse interne dell’azienda.

Shadowserver ha avvertito che il numero effettivo di gateway vulnerabili potrebbe essere maggiore.

Alcuni dispositivi non sono disponibili per la scansione, probabilmente a causa del blocco dei sistemi di ricerca e verifica. L’organizzazione ha dichiarato esplicitamente che i proprietari di Ivanti Sentry senza patch sono probabilmente già a rischio di compromissione.

Ivanti non ha ancora aggiornato il suo avviso, in cui si afferma ancora che non sono noti casi di sfruttamento al momento della divulgazione della vulnerabilità.

I prodotti Ivanti attirano regolarmente l’attenzione degli aggressori perché gli errori in tali sistemi offrono la possibilità di penetrare nelle reti aziendali e ottenere dati sensibili. Negli ultimi anni, il CISA statunitense ha elencato 34 vulnerabilità in vari prodotti Ivanti nel suo catalogo di bug sfruttati attivamente. In 12 casi tali vulnerabilità sono state sfruttate anche in attacchi ransomware.

Si consiglia ai possessori di Ivanti Sentry di installare urgentemente le versioni R10.5.2, R10.6.2 o R10.7.1 e di controllare anche i propri dispositivi per eventuali segni di attività sospette.

Carolina Vivianti

Carolina Vivianti è consulente/Advisor autonomo in sicurezza informatica con esperienza nel settore tech e security. Ha lavorato come Security Advisor per Ford EU/Ford Motor Company e Vodafone e ha studi presso la Sapienza Università di Roma.

Aree di competenza: Cybersecurity, IT Risk Management, Security Advisory, Threat Analysis, Data Protection, Cloud Security, Compliance & Governance