Ivanti khuyến cáo khách hàng Sentry vá lỗi ngay lập tức trước lỗ hổng nghiêm trọng cho phép thực thi mã từ xa

Ivanti khuyến cáo khách hàng Sentry vá lỗi ngay lập tức trước lỗ hổng nghiêm trọng cho phép thực thi mã từ xa

Khách hàng của Ivanti một lần nữa lại phải đối mặt với việc vá lỗi khẩn cấp sau khi công ty bảo mật này công bố hai lỗ hổng nghiêm trọng mới trong sản phẩm của mình. Cả hai lỗi đều ảnh hưởng đến Ivanti Sentry, một cổng di động (mobile gateway) nằm trong nền tảng quản lý điểm cuối thống nhất (UEM) của hãng.

Lỗ hổng đầu tiên và nguy hiểm nhất là CVE-2026-10520, được đánh giá mức độ nghiêm trọng tối đa (10.0). Lỗi này cho phép kẻ tấn công từ xa thực thi mã (RCE) với quyền root mà không cần bất kỳ xác thực nào.

Những lỗ hổng cho phép thực thi mã ở mức root mà không cần xác thực được coi là một trong những tình huống tồi tệ nhất trong lĩnh vực bảo mật, điều này giải thích cho điểm số hoàn hảo 10.0 của nó.

Điểm may mắn duy nhất là theo đánh giá của nhà cung cấp, chưa có bằng chứng nào cho thấy lỗ hổng này đã bị khai thác trong thực tế... cho đến nay. Tuy nhiên, việc công khai thông tin thường khởi động một đồng hồ đếm ngược figurative khi các tin tặc bắt đầu tìm cách khai thác lỗi.

Mặc dù Ivanti không cung cấp nhiều chi tiết trong bản tư vấn, nhưng các nhà nghiên cứu từ watchTowr đã phân tích bản vá lỗi và đưa ra các manh mối về cách thức hoạt động của nó. Theo đó, lỗ hổng xuất phát từ một API bị lộ chạy dưới Apache Tomcat. Kẻ tấn công có thể gửi một tin nhắn được chế tạo đặc biệt đến API này; tin nhắn này được phân tích như một lệnh cấu hình MICS và được trình xử lý backend thực thi với quyền root.

Có vẻ như Ivanti đã khắc phục vấn đề này bằng cách ngăn chặn việc chấp nhận chuỗi do kẻ tấn công cung cấp, thay thế bằng một lệnh được mã hóa cứng (hard-coded). Họ cũng đã cập nhật các quy tắc cấu hình Apache để chặn quyền truy cập chưa được xác thực vào điểm cuối bị ảnh hưởng.

Lỗ hổng bỏ qua xác thực

Lỗ hổng nghiêm trọng thứ hai trong Ivanti Sentry được theo dõi dưới mã CVE-2026-10523, với điểm số CVSS là 9.9 - gần như mức tối đa. Đây là lỗi bỏ qua xác thực (authentication bypass), cho phép kẻ tấn công từ xa, chưa được xác thực tạo tài khoản quản trị, tự cấp cho mình các đặc quyền cao nhất trên hệ thống bị ảnh hưởng.

Khuyến cáo cập nhật

Ivanti khuyến cáo khách hàng xử lý cả hai lỗi bảo mật này ngay lập tức. Người dùng có thể nâng cấp lên các phiên bản vá lỗi là 10.5.2, 10.6.2 hoặc 10.7.1.

Thông báo lần này của Ivanti xuất hiện sau khi họ khắc phục hai lỗ hổng nghiêm trọng riêng biệt ảnh hưởng đến Endpoint Manager Mobile (EPMM) vào tháng 1. Các lỗi đó đều được đánh giá 9.8 CVSS và đã bị khai thác dưới dạng zero-day. Thậm chí, cơ quan bảo vệ dữ liệu của Hà Lan cũng đã tự báo cáo lên quốc hội sau khi bị tin tặc xâm nhập trong các cuộc tấn công khai thác lỗ hổng trước khi được vá.