CISA cảnh báo lỗ hổng nghiêm trọng Ivanti Sentry, nhà sản xuất khẳng định chỉ hệ thống mồi bị tấn công

Cơ quan An ninh mạng và An ninh cơ sở hạ tầng Hoa Kỳ (CISA) đã gắn cờ một lỗ hổng vừa được vá trong phần mềm Ivanti Sentry là đang bị khai thác, mặc dù Ivanti khẳng định hoạt động này chỉ được quan sát thấy trên các hệ thống mồi (honeypots).

Lỗ hổng này được theo dõi dưới mã định danh CVE-2026-10520 với điểm số CVSS là 10/10 - mức nghiêm trọng cao nhất. Vấn đề bảo mật này được mô tả là lỗi tiêm lệnh hệ điều hành (OS command injection), cho phép kẻ tấn công thực thi mã tùy ý từ xa mà không cần xác thực, với quyền root.

Ivanti đã tung ra các bản vá cho lỗi này vào ngày 10 tháng 6, khẳng định họ không có bằng chứng về việc khai thác trong môi trường thực tế. Các phiên bản Ivanti Sentry 10.5.2, 10.6.2 và 10.7.1 đã chứa các bản sửa lỗi này.

Vào thứ Năm, CISA đã thêm lỗi này vào danh mục Các Lỗ hổng Đã bị Khai thác (Known Exploited Vulnerabilities - KEV), kêu gọi các cơ quan liên bang giải quyết vấn đề trong vòng ba ngày, phù hợp với hướng dẫn BOD 26-04 về việc ưu tiên vá lỗi dựa trên rủi ro.

Ivanti Sentry Security

CISA lưu ý: "Lỗ hổng này có thể được khai thác thành công trong trường hợp thiết bị Sentry ở trạng thái không được quản lý và các điểm cuối của nó có thể tiếp cận từ bên ngoài. Việc sử dụng mTLS với EPMM hoặc quyền truy cập HTTPS bị hạn chế thông qua Neurons cho MDM sẽ khiến các giao diện này không thể tiếp cận bởi các tác nhân bên ngoài."

Ivanti đã cập nhật thông báo tư vấn để phản ánh việc CVE này được thêm vào danh sách KEV của CISA, nhưng chỉ ra rằng việc đánh dấu này dựa trên "nỗ lực khai thác các hệ thống mồi".

"Rất quan trọng để khách hàng biết rằng việc khai thác CVE-2026-10520 yêu cầu quyền truy cập vào cổng quản lý (8443). Các giao diện quản lý không bao giờ nên được phơi bày với internet, mặc dù các hệ thống mồi thường có cấu hình sai để xác định hành vi độc hại," đại diện Ivanti cho biết.

Công ty cũng nhấn mạnh rằng, bất chấp điểm số CVSS của lỗ hổng, rủi ro mà nó gây ra giảm đi đáng kể dựa trên cách triển khai và cấu hình.

Lưu ý của Ivanti, được phản ánh trong mục nhập KEV của CISA, giải thích rằng các API dễ bị tấn công được bảo vệ bởi mTLS cho các thiết bị Sentry được quản lý bởi EPMM. Ngoài ra, các phiên bản Sentry không được quản lý không thể được sử dụng trong môi trường sản xuất, "vì việc quản lý là thứ đẩy cấu hình cho kết nối thiết bị và xác thực".

Đối với các thiết bị Sentry được quản lý bởi Neurons cho MDM, công ty khuyến nghị hạn chế quyền truy cập internet vào API dễ bị tấn công, bất kể cách triển khai.