שער הכניסה לארגון הפך לדלת אחורית: חולשה בציון מושלם 10.0 ב-Ivanti Sentry כבר מנוצלת בפועל
תוך 24 שעות מרגע שפרסום נגיש יצא לאינטרנט, גייטוויז של ארגונים כבר הכילו דלת אחורית. CISA הגיבה עם דדליין פדרלי של שלושה ימים — אחד הקצרים ביותר שהנחיית הסוכנות ידעה. הציון: 10.0 מתוך 10 — הCVSS המושלם שמוענק רק לחולשות הגרועות ביותר האפשריות.
זו המציאות של CVE-2026-10520 ב-Ivanti Sentry.
ציר זמן קצר
- 10 ביוני 2026 — Ivanti חושפת ומתקנת את CVE-2026-10520 ואת CVE-2026-10523. בשלב זה: “אין עדות לניצול פעיל”.
- ~11 ביוני 2026 — watchTowr Labs מפרסמים הוכחת-היתכנות (ניצול חולשה) ציבורית.
- תוך 24 שעות — קרן Shadowserver מתחילה לזהות ניסיונות ניצול המוני. מסריקותיה: 19 מכשירים חשופים נמצאו, לפחות 2 מהם כבר עם דלת אחורית.
- 11 ביוני 2026 — CISA מוסיפה את CVE-2026-10520 לקטלוג ה-KEV (Known Exploited Vulnerabilities) ומוציאה הנחיה פדרלית לסגירת הפגיעות עד 14 ביוני 2026 — דדליין של שלושה ימים.
איך החולשה עובדת
Ivanti Sentry הוא מכשיר edge — גייטווי שיושב בין מכשירים ניידים (טלפונים, לפטופים) לבין מערכות פנימיות של הארגון: מייל, אפליקציות, שירותי ענן. הוא מחליף בעצם את ה-VPN הקלאסי עבור סביבות Ivanti / MobileIron.
CVE-2026-10520 היא הזרקת קוד ברמת פקודות מערכת ההפעלה (OS Command Injection). הבעיה נמצאת ב-endpoint:
/mics/api/v2/sentry/mics-config/handleMessage
זהו endpoint שחשוף על ממשק ה-HTTPS הסטנדרטי — הממשק שכל פריסה של Sentry חושפת כברירת מחדל. לא נדרשת שום הגדרה מיוחדת כדי להיות חשוף.
כשתוקף שולח בקשת HTTP מעוצבת ל-endpoint הזה, Sentry מפרש אותה כפקודת קונפיגורציה MICS ומעביר אותה לפונקציה פנימית — handleExecute() — שמריצה אותה כ-root, בלי לבדוק מי שלח ומה כוונתו.
כאן טמון הלב של הבעיה: הפונקציה מניחה שהנתונים שהגיעו אליה הם הוראות לגיטימיות, ולא קלט עוין מהרשת. זה כמו טופס ממוחשב שאמור לקבל רק שם — אבל אם כותבים שם ואחריו פקודת מערכת, השרת מבצע גם אותה. הנתונים הפכו להוראות.
התוצאה: RCE מלא, ללא אימות זהות, כ-root.
האם אני מושפע?
Ivanti Sentry משמשת ארגונים שמנהלים ניידים בסביבה תאגידית — בנקים, בתי חולים, חברות ביטוח, גופי ממשל, כל מי שמשתמש ב-Ivanti EPMM (שנקרא בעבר MobileIron). אם יש לכם מכשיר Sentry ברשת, אתם מושפעים — כל עוד אתם מפעילים גרסה שאינה מתוקנת.
הסיבה שחולשה כזו מסוכנת במיוחד: מכשירי edge כמו Sentry צריכים להיות נגישים — זה בדיוק התפקיד שלהם. לא ניתן פשוט לסגור להם גישה מהאינטרנט מבלי לשבש את פעולת הארגון. לכן, בשונה מחולשה שרת פנימי, כאן הגיאוגרפיה של האינטרנט עובדת לטובת התוקף.
בנוסף, מכשיר edge מהסוג הזה הוא מנקודת ראות של תוקף נכס מעולה: הוא נמצא ממש על גבול הרשת, נותן גישה למשאבים פנימיים, ואם נפגע — הוא הופך לנקודת קפיצה מצוינת לתנועה רוחבית בתוך הארגון.
איך לבדוק ולתקן
גרסאות מתוקנות
עדכנו ל-Sentry 10.5.2, 10.6.2, או 10.7.1 בהתאם לגרסה שאתם מפעילים. כל גרסה ישנה יותר — חשופה.
עדכון לא מספיק לבד
כיוון שניצול פעיל התחיל לפני שרוב הארגונים יכלו להגיב, עדכון בלבד לא מוכיח שהמכשיר נקי. אם המכשיר שלכם היה חשוף בין 10 ל-14 ביוני 2026 — יש להניח שייתכן שהוא כבר נפגע.
בדיקות לאחר עדכון:
- חיפוש דלתות אחוריות: בחנו משתמשים חדשים, שירותים לא מוכרים, תהליכים פועלים שלא הכרתם, ורשימת cronjobs. Shadowserver אישר שלפחות בשני מכשירים כבר הושתלה דלת אחורית — הדפוס בדרך כלל הוא יצירת משתמש עם הרשאות root ופתיחת reverse shell.
- לוגי גישה: בדקו גישות ל-endpoint הפגיע (
/mics/api/v2/sentry/mics-config/handleMessage) בלוגי ה-HTTPS — חפשו בקשות POST חריגות, במיוחד מכתובות IP לא ידועות. - IOCs: עקבו אחרי עדכוני watchTowr Labs ו-Shadowserver לרשימות כתובות IP ו-hash ידועים הקשורים לגל הניצול.
- החלפת מכשיר: אם אתם חושדים בפשרה — אל תנסו “לנקות” את המכשיר. הדרך הבטוחה היחידה היא להחליפו ולשחזר את הקונפיגורציה מגיבוי נקי שקדם לתאריך הניצול.
CVE-2026-10523, חולשת מלווה עם CVSS 9.9, מוסיפה עוד שכבת סיכון: עוקפת אימות זהות ומאפשרת לתוקף לא מזוהה ליצור חשבונות עם הרשאות מנהל — בלי לנצל את CVE-2026-10520 כלל. שתי החולשות יחד מספקות כמה מסלולים שונים לניצול מלא.
מה לעשות עכשיו
אם יש לכם Ivanti Sentry ברשת:
- עדכנו מיידית ל-10.5.2 / 10.6.2 / 10.7.1 — זהו הצעד הקריטי. כל שעה של עיכוב היא חלון עוד פתוח.
- הגבילו גישה לממשק הניהול של Sentry לרשת פנימית בלבד, אם האדריכלות מאפשרת — גם אם זמנית, עד לאחר העדכון.
- בדקו סימני פשרה כמתואר למעלה — אל תניחו שהמכשיר נקי רק כי עדכנתם. מי שהיה חשוף — ייתכן שהנזק כבר נעשה.
- עקבו אחרי KEV — CISA מעדכנת את הקטלוג שלה בזמן אמת. ארגונים פדרליים בארה”ב נדרשו לסגור עד 14 ביוני; ארגונים אחרים אמורים לנהוג באותה דחיפות.
- הפעילו ניטור על מכשירי edge — Sentry, VPN, firewalls, load balancers. מכשירים אלה נמצאים בגבול הרשת ומהווים יעד עדיפות ראשונה לתוקפים מתוחכמים. אחת ההטיות הנפוצות בארגונים היא לנטר טוב את השרתים הפנימיים ולהזניח את ה-edge.
- עדכנו תוכנית תגובה לאירוע — אם טרם יש לכם נוהל ל”מכשיר edge שנחשד כנפגע”, עכשיו הזמן לבנות אחד. הוא שונה מנוהל endpoint רגיל.
ציון CVSS 10.0, ניצול פעיל תוך 24 שעות, ודדליין פדרלי של שלושה ימים — שלושת הסימנים הללו מצביעים על אותו כיוון. כשמכשיר שתפקידו להגן על הארגון הופך לנקודת הכניסה של התוקף — הזמן לפעול הוא עכשיו.
מקורות: SecurityWeek | Security Affairs | BleepingComputer | watchtowr Labs
תגובות