Atacantes estão agora visando ativamente uma falha de severidade máxima no appliance **Ivanti Sentry**, permitindo-lhes executar código com privilégios de root em gateways móveis seguros expostos à internet. **Ivanti Sentry** é um appliance de gateway de segurança projetado para proteger o tráfego entre sistemas corporativos back-end e dispositivos móveis remotos. A vulnerabilidade, rastreada como **CVE-2026-10520**, é uma fraqueza de injeção de comando do sistema operacional. A **Ivanti** lançou patches na terça-feira nas versões R10.5.2, R10.6.2 e R10.7.1 do Sentry. ### Exploração Rápida Observada Embora a **Ivanti** tenha inicialmente afirmado não haver evidências de exploração em campo, a organização de segurança sem fins lucrativos **Shadowserver** relatou no dia seguinte que atacantes já haviam instalado backdoors em um número significativo de gateways Sentry expostos online. **Shadowserver** alertou: "Estamos observando um grande volume de tentativas de exploração da **Ivanti Sentry CVE-2026-10520** com base no PoC público de hoje. Vemos 19 instâncias vulneráveis em nossas próprias varreduras, com pelo menos 2 com backdoors (graças à Saudi NCA pela dica!). No entanto, todas as restantes provavelmente também foram comprometidas." A organização também observou que, embora suas varreduras tenham detectado um número limitado de instâncias Sentry expostas, mais provavelmente estão vulneráveis devido ao seu motor de busca estar em uma lista de bloqueio. "Se você ainda não aplicou o patch, é muito provável que já tenha sido comprometido", alertou **Shadowserver**.  ### Resposta da Ivanti e Preocupações Mais Amplas A **Ivanti** ainda não atualizou seu aviso de segurança emitido na terça-feira, que ainda afirma: "Não estamos cientes de nenhum cliente sendo explorado por essas vulnerabilidades no momento da divulgação." Este incidente destaca um padrão recorrente. Hackers frequentemente visam falhas de segurança da **Ivanti** porque elas fornecem um ponto de entrada crítico nas redes corporativas, facilitando o roubo de dados confidenciais. Nos últimos anos, múltiplos zero-days da **Ivanti** foram explorados para invadir vários alvos, incluindo agências governamentais em todo o mundo. Exemplos incluem vulnerabilidades críticas no **Endpoint Manager Mobile (EPMM)** abordadas em janeiro após serem exploradas como zero-days contra um "número muito limitado de clientes". Mês passado, a **Cybersecurity and Infrastructure Security Agency (CISA)** ordenou que agências federais dos EUA aplicassem patches nos sistemas **Ivanti** após a empresa alertar sobre uma falha de execução remota de código de alta severidade no **EPMM**, também abusada em ataques zero-day. A **CISA** sinalizou 34 vulnerabilidades em vários produtos **Ivanti** como ativamente exploradas em campo, com 12 delas também visadas em ataques de ransomware. A **Ivanti** possui uma rede de mais de 7.000 parceiros e 3.000 funcionários, com suas soluções de gerenciamento de ativos de TI utilizadas por mais de 40.000 clientes globalmente.