**Ivanti**, une entreprise de logiciels de sécurité de premier plan, a pris des mesures pour corriger deux vulnérabilités critiques identifiées dans sa solution de passerelle mobile sécurisée **Sentry**. Les correctifs ciblent une faille de sévérité maximale permettant aux attaquants distants d'exécuter du code avec des privilèges root, ainsi qu'un contournement d'authentification critique. Anciennement connu sous le nom de **MobileIron Sentry**, **Ivanti Sentry** fonctionne comme un appareil de passerelle de sécurité, protégeant le flux de trafic entre les systèmes d'entreprise back-end et les appareils mobiles distants. ### Injection de commande OS de sévérité maximale La première et la plus grave vulnérabilité, suivie sous **CVE-2026-10520**, est une faiblesse d'injection de commande OS. Cette faille porte une note de sévérité maximale en raison de son potentiel d'exécution de code à distance non authentifiée avec des privilèges root, offrant aux attaquants un contrôle total sur les systèmes affectés. ### Contournement d'authentification critique La deuxième faille de sécurité, identifiée comme **CVE-2026-10523**, est un contournement d'authentification critique. Cette vulnérabilité peut être exploitée à distance par des attaquants non authentifiés pour créer des comptes administratifs non autorisés, leur permettant ainsi d'obtenir un accès administratif complet à l'appareil **Sentry**. ### Disponibilité des correctifs et recommandations **Ivanti** a publié des correctifs pour les deux problèmes mardi, avec la disponibilité des versions **Sentry** R10.5.2, R10.6.2 et R10.7.1. La société a déclaré qu'elle n'avait aucune preuve que ces vulnérabilités étaient activement exploitées dans la nature au moment de la divulgation. Néanmoins, les administrateurs sont invités à mettre à jour leurs systèmes sans délai pour atténuer les risques potentiels. ### Un schéma d'exploitation Cet incident s'ajoute à un schéma préoccupant de vulnérabilités **Ivanti** fréquemment ciblées par les acteurs de la menace. Les produits de la société, en raison de leur utilisation généralisée dans les réseaux d'entreprise, servent souvent de points d'entrée attrayants pour les cybercriminels visant à pénétrer les organisations et à exfiltrer des données sensibles. Par exemple, la **Cybersecurity and Infrastructure Security Agency (CISA)** a récemment ordonné aux agences fédérales américaines de patcher une faille **Ivanti Endpoint Manager Mobile (EPMM)** qui était activement exploitée en tant que zero-day. Cela fait suite à l'avertissement d'**Ivanti** concernant la vulnérabilité d'exécution de code à distance de haute sévérité. De nombreux autres zero-days **Ivanti** ont été exploités dans des attaques au cours des dernières années, affectant un large éventail de cibles, y compris des agences gouvernementales dans le monde entier. Le catalogue des vulnérabilités connues et exploitées de la **CISA** répertorie 34 vulnérabilités dans divers produits **Ivanti** comme étant activement exploitées, dont 12 ont également été utilisées dans des attaques de ransomware. Les solutions de gestion des actifs informatiques d'**Ivanti** sont utilisées par plus de 40 000 clients dans le monde, soulignant l'importance critique des correctifs en temps voulu et des pratiques de sécurité robustes pour sa base d'utilisateurs étendue.