Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Sicherheit & Datenschutz 11.06.2026 · 4 min Lesezeit

Ivanti Sentry: Kritische Root-Lücke wird aktiv ausgenutzt

CVE-2026-10520 in Ivanti Sentry erlaubt Root-Level Remote Code Execution. Nach Patch und Proof of Concept melden Sicherheitsbeobachter aktive Ausnutzungsversuche.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Helle S EDV News Grafik zur Ivanti Sentry Sicherheitslücke

Für Ivanti Sentry gibt es eine akute Sicherheitslage. Nach der Veröffentlichung von Patches für zwei kritische Schwachstellen melden Sicherheitsbeobachter bereits Ausnutzungsversuche gegen CVE-2026-10520. Die Lücke erlaubt einem entfernten, nicht angemeldeten Angreifer die Ausführung von Befehlen mit Root-Rechten auf verwundbaren Sentry-Systemen.

Quelle und Veröffentlichungsstand

Ivanti veröffentlichte das Advisory am 9. Juni 2026 und nennt CVSS 10.0 für CVE-2026-10520 sowie CVSS 9.9 für CVE-2026-10523. NVD und CVE.org führen CVE-2026-10520 ebenfalls als veröffentlichte Schwachstelle. Laut Help Net Security und BleepingComputer meldete Shadowserver am 11. Juni Ausnutzungsversuche auf Basis eines öffentlichen Proof of Concept.

Was ist die Schwachstelle?

CVE-2026-10520 ist eine OS Command Injection in Ivanti Sentry. Laut Ivanti können entfernte, nicht authentifizierte Angreifer dadurch Root-Level Remote Code Execution erreichen. CVE-2026-10523 ist zusätzlich eine Authentifizierungsumgehung, durch die Angreifer administrative Konten erstellen und vollständigen Administrationszugriff erhalten können.

Welche Systeme sind betroffen?

Betroffen sind Ivanti Sentry 10.5.1, 10.6.1, 10.7.0 sowie ältere Versionen. Nicht betroffen sind laut Ivanti die korrigierten Versionen 10.5.2, 10.6.2 und 10.7.1. Ivanti Sentry ist ein Gateway zwischen mobilen Endgeräten und internen Unternehmensdiensten, etwa Mailservern oder internen Anwendungen.

Wie kritisch ist die Schwachstelle?

Die Kritikalität ist sehr hoch. CVE-2026-10520 erreicht laut Ivanti und CVE.org einen CVSS-Wert von 10.0. Der Angriff ist über das Netzwerk möglich, benötigt keine Anmeldung und keine Nutzerinteraktion. Bei erfolgreicher Ausnutzung erhält der Angreifer Root-Rechte auf dem betroffenen System.

Gibt es bereits aktive Angriffe?

Ja, für CVE-2026-10520 werden aktive Ausnutzungsversuche gemeldet. Wichtig ist die genaue Einordnung: Ivanti schrieb im ursprünglichen Advisory, dass dem Unternehmen zum Zeitpunkt der Offenlegung keine Ausnutzung bei Kunden bekannt sei. Danach berichteten BleepingComputer und Help Net Security über Beobachtungen von Shadowserver, wonach Ausnutzungsversuche auf Basis eines öffentlichen Proof of Concept laufen.

Welche Auswirkungen sind möglich?

Ein kompromittiertes Sentry-Gateway ist besonders kritisch, weil es zwischen externen Geräten und internen Diensten steht. Mögliche Folgen sind Systemübernahme, Manipulation von Konfigurationen, Zugriff auf interne Anwendungen, Diebstahl von Sitzungsdaten oder weitere Bewegung in Richtung Unternehmensnetz. Bei CVE-2026-10523 kommt das Risiko unberechtigter Administratorkonten hinzu.

Gibt es ein Update?

Ja. Ivanti stellt Updates auf 10.5.2, 10.6.2 und 10.7.1 bereit. Administratoren sollten die passende Zielversion anhand der eingesetzten Sentry-Version wählen und die Appliance unmittelbar aktualisieren.

Gibt es einen Workaround?

In den geprüften Quellen steht das Update klar im Vordergrund. Ein belastbarer vollständiger Workaround wurde in den herangezogenen Quellen nicht bestätigt. Zusätzlich sollten exponierte Verwaltungszugänge eingeschränkt und erreichbare Sentry-Systeme inventarisiert werden.

Was sollten Administratoren jetzt tun?

  • Alle Ivanti Sentry Instanzen identifizieren.
  • Internet-Erreichbarkeit und Management-Zugänge prüfen.
  • Sofort auf 10.5.2, 10.6.2 oder 10.7.1 aktualisieren.
  • Bei ungepatchten, erreichbaren Systemen eine Kompromittierung in Betracht ziehen.
  • Administratorkonten, Konfigurationsänderungen, Logs und Netzwerkverbindungen prüfen.
  • Verdächtige Sitzungen beenden und Zugangsdaten rotieren, wenn eine Kompromittierung nicht ausgeschlossen werden kann.

Woran erkenne ich mögliche Angriffe?

Die Quellen nennen keine vollständige, von Ivanti bestätigte IOC-Liste. Sinnvoll ist deshalb eine breitere Prüfung: neu angelegte Administratorkonten, unerwartete Konfigurationsänderungen, ungewöhnliche Prozesse, verdächtige ausgehende Verbindungen und Zugriffe auf interne Dienste sollten untersucht werden.

Priorität nach Umgebung

Internet-erreichbare Ivanti Sentry Systeme haben höchste Priorität. Danach folgen Systeme mit Zugriff auf sensible interne Anwendungen, Maildienste oder privilegierte Verwaltungsnetze. Auch isoliert platzierte Appliances sollten gepatcht werden, da ein Gateway-Kompromiss häufig als Ausgangspunkt für weitere Angriffe dienen kann.

Empfehlung für Unternehmen und Administratoren

Das Update sollte als Notfallmaßnahme behandelt werden. Wer ein verwundbares Sentry-System nach Veröffentlichung des Proof of Concept weiterhin erreichbar betrieben hat, sollte nicht nur patchen, sondern aktiv nach Spuren einer Kompromittierung suchen. Mehr dazu auf s-edv.com: Für den Ernstfall hilft ein strukturierter Ransomware-Notfallplan für die ersten 60 Minuten.

FAQ

Ist CVE-2026-10520 eine Zero-Day-Lücke?
Die geprüften Quellen beschreiben die aktuelle Ausnutzung nach Veröffentlichung von Patch und Proof of Concept. Ivanti meldete zum Offenlegungszeitpunkt keine bekannte Ausnutzung bei Kunden.

Reicht das Patchen aus?
Bei nicht exponierten Systemen kann das Update genügen. Bei exponierten ungepatchten Systemen sollte zusätzlich eine Incident-Response-Prüfung erfolgen.

Fazit

Ivanti Sentry CVE-2026-10520 ist eine kritische Schwachstelle mit Root-Level Remote Code Execution und inzwischen gemeldeten Ausnutzungsversuchen. Unternehmen sollten betroffene Systeme sofort aktualisieren und exponierte ungepatchte Appliances als potenziell kompromittiert behandeln.

Quellen: Ivanti Advisory, BleepingComputer, Help Net Security, NVD, CVE.org.

Verwandt

Weiter lesen

Alle Artikel →
npm 12 verschärft Installationen mit neuen Sicherheitsmaßnahmen zum Schutz vor Supply Chain Angriffen
11.06.2026 ·4 min

npm 12 verschärft Installationen gegen Supply-Chain-Angriffe

GitHub plant für npm 12 neue Sicherheitsdefaults. Installationsskripte, Git-Abhängigkeiten und entfernte Paketquellen sollen künftig explizit erlaubt werden.
Warnmeldung zu CVE-2026-47291 in HTTP.sys: Eine kritische Schwachstelle mit CVSS 9,8 ermöglicht auf ungepatchten Windows-Systemen unter bestimmten Voraussetzungen unauthentifizierte Remote Code Execution über das Netzwerk.
11.06.2026 ·3 min

HTTP.sys-Lücke CVE-2026-47291 (CVSS 9,8): Ungepatchte Windows-Systeme durch unauthentifizierte RCE bedroht

CVE-2026-47291 (CVSS 9,8) im Windows-Kernel-Treiber HTTP.sys erlaubt unauthentifizierten Angreifern Remote-Code-Ausführung. Der Juni-2026-Patchday bringt den Fix – besonders gefährdet sind Umgebungen mit angepasstem MaxRequestBytes-Registrierungswert.
Grafik zum SAP Patchday im Juni 2026 mit vier kritischen Sicherheitslücken in SAP NetWeaver und SAP Commerce Cloud, darunter Schwachstellen mit einem CVSS-Wert von bis zu 9,9.
11.06.2026 ·3 min

SAP Patchday Juni 2026: Vier kritische Lücken in NetWeaver und Commerce Cloud – CVSS bis 9,9

SAP hat am 9. Juni 2026 insgesamt 15 Sicherheitshinweise veröffentlicht, darunter vier kritische CVEs mit CVSS-Wertungen bis 9,9. Betroffen sind NetWeaver AS ABAP und Java, S/4HANA sowie Commerce Cloud. Administratoren sollten die Patches sofort einspielen.