Des attaquants ciblent désormais activement une faille de sévérité maximale dans les appliances **Ivanti Sentry**, leur permettant d'exécuter du code avec des privilèges root sur les passerelles mobiles sécurisées exposées sur Internet. **Ivanti Sentry** est une appliance de passerelle de sécurité conçue pour sécuriser le trafic entre les systèmes d'entreprise back-end et les appareils mobiles distants. La vulnérabilité, identifiée sous la référence **CVE-2026-10520**, est une faiblesse d'injection de commande OS. **Ivanti** a publié des correctifs mardi dans les versions Sentry R10.5.2, R10.6.2 et R10.7.1. ### Exploitation rapide observée Bien qu'**Ivanti** ait initialement déclaré qu'il n'y avait aucune preuve d'exploitation dans la nature, l'organisation de sécurité à but non lucratif **Shadowserver** a rapporté le lendemain que des attaquants avaient déjà installé des backdoors sur un nombre important de passerelles Sentry exposées en ligne. **Shadowserver** a averti : « Nous observons une grande quantité de tentatives d'exploitation d'**Ivanti Sentry CVE-2026-10520** basées sur le PoC public aujourd'hui. Nous avons détecté 19 instances vulnérables lors de nos propres scans, avec au moins 2 compromis (grâce au NCA saoudien pour l'information !). Cependant, toutes les autres sont probablement également compromises. » L'organisation a également noté que si ses scans ont détecté un nombre limité d'instances Sentry exposées, il y en a probablement davantage qui sont vulnérables en raison du blocage de son moteur de recherche. « Si vous n'avez pas appliqué le correctif maintenant, vous êtes très probablement compromis », a averti **Shadowserver**.  ### Réponse d'Ivanti et préoccupations plus larges **Ivanti** n'a pas encore mis à jour son avis de sécurité publié mardi, qui indique toujours : « Nous ne sommes au courant d'aucun client exploité par ces vulnérabilités au moment de la divulgation. » Cet incident met en évidence un schéma récurrent. Les pirates ciblent fréquemment les failles de sécurité **Ivanti** car elles offrent un point d'entrée critique dans les réseaux d'entreprise, facilitant le vol de données sensibles. Ces dernières années, plusieurs zero-days **Ivanti** ont été exploités pour pénétrer diverses cibles, y compris des agences gouvernementales dans le monde entier. Parmi les exemples figurent des vulnérabilités critiques dans **Endpoint Manager Mobile (EPMM)** corrigées en janvier après avoir été exploitées en tant que zero-days contre un « nombre très limité de clients ». Le mois dernier, la **Cybersecurity and Infrastructure Security Agency (CISA)** a ordonné aux agences fédérales américaines de patcher les systèmes **Ivanti** après que l'entreprise ait alerté sur une faille EPMM de haute sévérité permettant l'exécution de code à distance, également abusée dans des attaques zero-day. La **CISA** a identifié 34 vulnérabilités dans divers produits **Ivanti** comme étant activement exploitées dans la nature, dont 12 ont également été ciblées dans des attaques de ransomware. **Ivanti** se targue d'un réseau de plus de 7 000 partenaires et 3 000 employés, avec ses solutions de gestion d'actifs informatiques utilisées par plus de 40 000 clients dans le monde.