Ivanti Sentry 预认证远程代码执行漏洞 (CVE-2026-10520) 深度解读

背景

Ivanti Sentry（前身为 MobileIron Sentry）是一款在企业环境中广泛部署的在线网关产品，主要用于管理、加密和保护移动设备与企业后端系统之间的流量。它通常部署在 DMZ（非军事区），控制 ActiveSync 电子邮件流量，并为 Microsoft Exchange 执行设备级别的访问决策，常与 Ivanti Endpoint Manager Mobile (EPMM) 配合使用。

近期，安全研究人员发现 Ivanti Sentry 存在一个严重的预认证操作系统命令注入漏洞（CVE-2026-10520）。该漏洞允许远程攻击者在无需身份验证的情况下执行任意系统命令，从而获得 root 级别的控制权。由于其极高的严重性（CVSS 10.0）以及已在野外被积极利用的事实，美国网络安全和基础设施安全局（CISA）已将其列入已知被利用漏洞目录（KEV），并设定了极短的修复期限。

核心内容

漏洞技术细节

CVE-2026-10520 属于 CWE-78（操作系统命令注入），存在于 Ivanti Sentry 的 MICS 配置 API 中。具体而言，/mics/api/v2/sentry/mics-config/handleMessage 端点接受未经身份验证的 POST 请求，并通过 Java 反射将用户提供的输入直接传递给操作系统命令执行模块。

攻击过程极其简单：攻击者发送一个包含精心构造的 message 参数的 POST 请求，其中包含要执行的系统命令。该载荷通过 Spring Boot REST 控制器进入配置处理程序，处理程序解析 XML 格式的命令并通过 Java 反射调用它们。响应中包含命令输出，这使得攻击者能够立即获得完整的读写远程代码执行（RCE）能力。

受影响版本与修复

• 受影响版本：Ivanti Sentry R10.5.x、R10.6.x 和 R10.7.x 系列中，版本低于 R10.5.2、R10.6.2 和 R10.7.1 的所有版本。
• 修复版本：R10.5.2、R10.6.2 和 R10.7.1。
• 补丁机制：补丁通过硬编码命令输入，并添加 Apache 重写规则来阻止未经身份验证的访问（返回 302 重定向），从而加固了易受攻击的端点。

关联漏洞：CVE-2026-10523

同一份安全公告还涵盖了 CVE-2026-10523（CVSS 9.9），这是一个独立的身份验证绕过漏洞。该漏洞允许远程未经身份验证的攻击者创建任意管理员账户，从而获得对 Sentry 设备的完全管理员访问权限。两个漏洞影响相同的版本，且由同一个补丁修复。watchTowr Labs 提供的公开概念验证（PoC）同时覆盖了这两个 CVE。

威胁情报与利用现状

• 严重性评分：CVSS v3.1 满分 10.0（AV:N/AC:L/PR:N/UI:N/S:C）。
• 利用状态：已在野外确认被积极利用。
• CISA 行动：2026 年 6 月 11 日列入 KEV，要求联邦机构及遵循 BOD 26-04 的组织在 3 天内（即 2026 年 6 月 14 日前）完成修复。
• 公开 PoC：watchTowr Labs 已发布公开的概念验证代码。

关键要点

• 最高风险等级：CVSS 10.0 评分意味着该漏洞极易利用且后果严重，无需任何凭据或用户交互即可实现 root 级代码执行。
• 紧急修复窗口：鉴于 CISA 的 KEV 列表和 3 天修复期限，组织必须立即采取行动。
• 双重威胁：除了 RCE（CVE-2026-10520），还需关注身份验证绕过漏洞（CVE-2026-10523），攻击者可借此创建后门管理员账户。
• 网络暴露面：Ivanti Sentry 通常部署在 DMZ 并直接暴露在互联网上，这使得其成为攻击者的首选目标。
• 横向移动风险：一旦 Sentry 被攻破，攻击者可将其作为跳板，进一步渗透电子邮件服务器、内部应用程序及更广泛的企业网络。

意义与影响

对安全运营的影响

该漏洞的公开 PoC 和积极利用状态对安全团队构成了紧迫挑战。传统的边界防御可能不足以阻止此类预认证攻击，因为攻击者可以直接利用 API 端点。安全团队需要立即执行以下调查工作流：

1. 端口扫描：在 DMZ 和边缘子网中扫描默认的 8443 端口（Sentry HTTPS），同时检查 443（反向代理）和 9090（部分部署的管理控制台）。
2. TLS 检查：检查 8443 端口的 TLS 证书，寻找包含 "Ivanti"、"MobileIron" 或 "Sentry" 字样的自签名证书。
3. HTTP 指纹识别：探测 /mics/login.jsp 页面及 /mics/api/ 路径。未修补的实例在访问易受攻击端点时会返回 200 状态码，而修补后的实例会返回 302 重定向。
4. DNS 发现：查询内部 DNS 中常见的 Sentry 命名模式（如 sentry-*, gateway-*, mobileiron-* 等），并关联 EPMM 基础设施。

缓解与补救建议

• 立即打补丁：升级至 R10.5.2、R10.6.2 或 R10.7.1。
• 网络访问限制：在打补丁期间，使用防火墙规则限制对 8443 端口的访问，仅允许受信任的管理网络访问，并阻止所有外部对 /mics/api/ 路径的访问。
• 启用 mTLS：如果部署了使用 mTLS 的 EPMM 或通过 Neurons for MDM 限制 HTTPS 访问，暴露面将显著降低。
• 检查入侵指标：审查 Sentry 日志，查找针对 /mics/api/v2/sentry/mics-config/handleMessage 的 POST 请求，检查是否有异常的系统进程、新用户账户或修改的配置文件。
• 审计 EPMM 基础设施：如果 Sentry 被攻破，攻击者可能已横向移动到 EPMM、Exchange 或 Active Directory。需全面审查相关日志以检测横向移动迹象。

行业警示

此事件再次凸显了企业移动管理（EMM/MDM）解决方案中预认证漏洞的巨大风险。由于 Ivanti Sentry 在企业网络架构中的关键枢纽地位，此类漏洞不仅影响移动设备管理，更可能危及整个企业网络的完整性。安全团队应将其视为最高优先级的紧急事件进行处理。