Una vulnerabilidad crítica de ejecución remota de código en Ivanti Sentry comenzó a ser explotada poco después de la publicación de detalles técnicos y una prueba de concepto. La agencia de ciberseguridad de los EE.UU. (CISA) incorporó la falla a catálogo de vulnerabilidades explotadas y ordenó a las agencias federales de ese país aplicar las mitigaciones en un plazo de tres días.
Una vulnerabilidad crítica identificada como CVE-2026-10520 en Ivanti Sentry se ha convertido en foco de actividad maliciosa pocos días después de que el fabricante publicara actualizaciones de seguridad para corregirla. La falla, que recibió una puntuación CVSS de 10.0, corresponde a una inyección de comandos del sistema operativo que puede permitir a un atacante remoto y sin autenticación ejecutar código con privilegios de root en dispositivos vulnerables expuestos a Internet.
Ivanti informó el 10 de junio la disponibilidad de las versiones Sentry 10.5.2, 10.6.2 y 10.7.1 para corregir CVE-2026-10520 y una segunda vulnerabilidad crítica, CVE-2026-10523, que permite omitir mecanismos de autenticación y crear cuentas administrativas no autorizadas. La compañía indicó inicialmente que no tenía evidencia de explotación activa al momento de la divulgación.
Sin embargo, investigadores de watchTowr publicaron un análisis técnico de CVE-2026-10520, explicando que el problema se origina en una interfaz destinada a aceptar comandos internos de configuración que también puede ser alcanzada desde Internet sin requerir autenticación. El grupo liberó además una prueba de concepto y herramientas para que los administradores pudieran verificar la exposición de sus entornos.
Al día siguiente de la publicación de los parches, la organización Shadowserver reportó intentos masivos de explotación asociados a la vulnerabilidad. En una alerta difundida públicamente señaló: “Estamos observando una gran cantidad de intentos de explotación de Ivanti Sentry CVE-2026-10520 basados en la prueba de concepto pública publicada hoy”.
Los datos recopilados por Shadowserver mostraban inicialmente 19 instancias vulnerables detectadas en sus análisis, de las cuales al menos dos presentaban indicios de haber sido comprometidas mediante puertas traseras. Posteriormente, el panel público de la organización registró más de 50 portales administrativos de Ivanti Sentry visibles desde Internet, aunque advirtió que la cifra real podría ser superior debido a restricciones que limitan la visibilidad de algunos sistemas.
La rápida transición entre la divulgación técnica y los intentos de explotación llevó a la Agencia de Ciberseguridad y Seguridad de Infraestructura de Estados Unidos (CISA) a incorporar CVE-2026-10520 a su catálogo Known Exploited Vulnerabilities (KEV). Como consecuencia, emitió una directiva que obliga a las agencias federales civiles a aplicar correcciones o mitigaciones en un plazo máximo de tres días.
En su comunicación, CISA advirtió que “Este tipo de vulnerabilidad es un vector de ataque frecuente para los ciberdelincuentes y supone riesgos significativos para las instituciones federales”.
Posteriormente, Ivanti actualizó su asesoría para reflejar la incorporación de la falla al catálogo KEV y sostuvo que la actividad observada correspondía a intentos de explotación dirigidos contra honeypots. La empresa señaló además que “las interfaces de administración nunca deberían estar expuestas a Internet”, destacando que la explotación requiere acceso al puerto de administración 8443 y que determinadas configuraciones reducen significativamente la superficie de ataque.