Angreifer zielen nun aktiv auf eine Schwachstelle mit maximaler Schwere in **Ivanti Sentry**-Appliances ab, die es ihnen ermöglicht, Code mit Root-Privilegien auf internetseitig exponierten Secure Mobile Gateways auszuführen. **Ivanti Sentry** ist eine Security-Gateway-Appliance, die dazu dient, den Datenverkehr zwischen internen Unternehmenssystemen und externen mobilen Geräten abzusichern. Die Schwachstelle, die als **CVE-2026-10520** verfolgt wird, ist eine OS-Command-Injection-Schwachstelle. **Ivanti** veröffentlichte am Dienstag Patches für die Sentry-Versionen R10.5.2, R10.6.2 und R10.7.1. ### Schnelle Ausnutzung beobachtet Obwohl **Ivanti** zunächst angab, keine Hinweise auf eine Ausnutzung in freier Wildbahn zu haben, berichtete die gemeinnützige Sicherheitsorganisation **Shadowserver** am nächsten Tag, dass Angreifer bereits eine beträchtliche Anzahl von online exponierten Sentry-Gateways mit Backdoors versehen hatten. **Shadowserver** warnte: „Wir beobachten heute eine große Menge an **Ivanti Sentry CVE-2026-10520**-Ausnutzungsversuchen basierend auf dem öffentlichen PoC. Wir sehen 19 anfällige Instanzen in unseren eigenen Scans, mit mindestens 2 kompromittierten (dank Saudi NCA für den Tipp!). Wahrscheinlich sind jedoch auch alle übrigen kompromittiert.“ Die Organisation stellte außerdem fest, dass ihre Scans zwar eine begrenzte Anzahl exponierter Sentry-Instanzen erfassten, aber aufgrund der Blocklistung ihrer Suchmaschine wahrscheinlich mehr anfällig sind. „Wenn Sie noch nicht gepatcht haben, sind Sie höchstwahrscheinlich kompromittiert“, warnte **Shadowserver**.  ### Ivantis Reaktion und breitere Bedenken **Ivanti** hat seinen am Dienstag veröffentlichten Sicherheitsratgeber noch nicht aktualisiert, der weiterhin besagt: „Uns sind zum Zeitpunkt der Offenlegung keine Kunden bekannt, die von diesen Schwachstellen betroffen sind.“ Dieser Vorfall unterstreicht ein wiederkehrendes Muster. Hacker zielen häufig auf **Ivanti**-Sicherheitslücken ab, da diese einen kritischen Einstiegspunkt in Unternehmensnetzwerke darstellen und den Diebstahl sensibler Daten ermöglichen. In den letzten Jahren wurden mehrere **Ivanti**-Zero-Days ausgenutzt, um verschiedene Ziele zu kompromittieren, darunter Regierungsbehörden weltweit. Beispiele hierfür sind kritische Schwachstellen in **Endpoint Manager Mobile (EPMM)**, die im Januar nach der Ausnutzung als Zero-Days gegen eine „sehr begrenzte Anzahl von Kunden“ behoben wurden. Im letzten Monat ordnete die **Cybersecurity and Infrastructure Security Agency (CISA)** US-Bundesbehörden an, **Ivanti**-Systeme zu patchen, nachdem das Unternehmen vor einer hochgradig kritischen Remote-Code-Execution-Schwachstelle in **EPMM** gewarnt hatte, die ebenfalls in Zero-Day-Angriffen missbraucht wurde. **CISA** hat 34 Schwachstellen in verschiedenen **Ivanti**-Produkten als aktiv in freier Wildbahn ausgenutzt eingestuft, wobei 12 davon auch in Ransomware-Angriffen zum Ziel wurden. **Ivanti** verfügt über ein Netzwerk von über 7.000 Partnern und 3.000 Mitarbeitern, und seine IT-Asset-Management-Lösungen werden von über 40.000 Kunden weltweit eingesetzt.