Các đối tượng đe dọa đang tích cực khai thác một lỗ hổng nghiêm trọng trên Ivanti Sentry cho phép thực thi mã từ xa, chỉ vài ngày sau khi mã khai thác bằng chứng (PoC) được công bố rộng rãi. Dữ liệu quét Internet mới nhất từ Shadowserver Foundation ghi nhận sự gia tăng đột biến các hoạt động tấn công nhắm vào lỗ hổng này.
Lỗ hổng Ivanti Sentry: CVE-2026-10520 và CVE-2026-10523
Lỗ hổng chính, được định danh là CVE-2026-10520, có điểm CVSS 10.0 tối đa. Nó cho phép kẻ tấn công từ xa, không cần xác thực, thực hiện remote code execution (RCE) với quyền root trên các thiết bị Ivanti Sentry bị ảnh hưởng. Đây là một lỗ hổng zero-day đã nhanh chóng bị vũ khí hóa.
Một lỗ hổng khác, CVE-2026-10523, cũng được Ivanti khắc phục trong bản vá bảo mật ngày 9 tháng 6. Lỗ hổng này thuộc nhóm CWE-78 (OS Command Injection) và ảnh hưởng đến các phiên bản Ivanti Sentry bao gồm 10.5.1, 10.6.1, 10.7.0 và các phiên bản cũ hơn.
Các phiên bản bị ảnh hưởng và bản vá
Ivanti đã phát hành các phiên bản cập nhật là 10.5.2, 10.6.2 và 10.7.1 để giải quyết hai lỗ hổng trên. Mặc dù Ivanti ban đầu tuyên bố không ghi nhận bất kỳ hoạt động khai thác nào tại thời điểm công bố, các cuộc tấn công thực tế đã diễn ra rất nhanh chóng sau khi mã khai thác PoC xuất hiện.
Phát hiện tấn công và xâm nhập hệ thống
Shadowserver báo cáo về một làn sóng tấn công nhắm vào lỗ hổng này trên phạm vi toàn Internet. Dữ liệu từ tổ chức cho thấy ít nhất 19 phiên bản Sentry bị phát hiện là có lỗ hổng trong quá trình quét. Đáng báo động hơn, ít nhất 2 hệ thống trong số này đã bị cài đặt backdoor, xác nhận việc xâm nhập thành công.
Các nhà nghiên cứu cảnh báo rằng con số hệ thống bị ảnh hưởng thực tế có thể cao hơn do một số thiết bị có thể không thể truy cập từ bên ngoài do các biện pháp lọc hoặc hạn chế mạng.
“Nếu bạn chưa cập nhật bản vá, rất có thể hệ thống của bạn đã bị xâm nhập”, Shadowserver nhấn mạnh tốc độ mà kẻ tấn công đã khai thác lỗ hổng. Điều này cho thấy nguy cơ bảo mật ngày càng tăng cao.
Dấu hiệu xâm nhập và tấn công mạng
Thông tin tình báo bổ sung cho thấy kẻ tấn công đang triển khai backdoor và chèn mã độc vào các hệ thống bị xâm nhập. Shadowserver đã bắt đầu chia sẻ các chỉ số xâm nhập (IOC) thông qua các kênh báo cáo của họ, gắn thẻ các hệ thống bị ảnh hưởng với các định danh như “cve-2026-10520” và “ivanti-sentry,injected-code,backdoor”.
Shadowserver đã ghi nhận lượng lớn các nỗ lực khai thác lỗ hổng Ivanti Sentry CVE-2026-10520 dựa trên mã PoC công khai. Qua quá trình quét, họ phát hiện 19 phiên bản có lỗ hổng, với ít nhất 2 hệ thống bị cài đặt backdoor. Các chuyên gia cho rằng tất cả các hệ thống còn lại cũng có khả năng bị xâm nhập.
Tốc độ chuyển đổi từ việc công bố lỗ hổng sang khai thác tích cực cho thấy một xu hướng lặp lại đối với các lỗ hổng trên thiết bị biên quan trọng. Các hệ thống tiếp xúc trực tiếp với Internet trở thành mục tiêu ngay lập tức khi chi tiết khai thác trở nên công khai.
Indicators of Compromise (IOC)
- CVE ID: CVE-2026-10520, CVE-2026-10523
- CWE: CWE-78 (OS Command Injection)
- Impact: Remote Code Execution (RCE), Privilege Escalation (root access)
- Tags Observed: “cve-2026-10520”, “ivanti-sentry,injected-code,backdoor”
Khuyến nghị bảo mật và hành động
Ivanti Sentry được sử dụng rộng rãi trong môi trường doanh nghiệp để quản lý thiết bị di động và email một cách an toàn, biến nó thành mục tiêu giá trị cao cho các kẻ tấn công tìm kiếm điểm truy cập ban đầu vào mạng công ty. Đây là một mối đe dọa mạng nghiêm trọng mà các tổ chức cần chú ý.
Các tổ chức sử dụng Ivanti Sentry được khuyến cáo mạnh mẽ nâng cấp lên phiên bản đã được vá lỗi ngay lập tức. Ivanti đã cung cấp các gói cài đặt và nâng cấp cập nhật thông qua cổng tải xuống dành cho khách hàng của họ. Bạn có thể tham khảo chi tiết tại: Ivanti Security Advisory.
Biện pháp ứng phó và phòng ngừa
Các đội ngũ an ninh mạng cũng nên tiến hành đánh giá tình trạng xâm nhập, bao gồm kiểm tra các truy cập trái phép, quy trình đáng ngờ và cơ chế duy trì quyền truy cập, đặc biệt trên các thiết bị tiếp xúc với Internet.
Với sự hiện diện của các backdoor đã được xác nhận, các hành động ứng phó sự cố như xoay vòng thông tin đăng nhập, phân tích nhật ký và kiểm tra tính toàn vẹn của hệ thống được khuyến nghị thực hiện ngay cả sau khi đã áp dụng bản vá lỗi.
Sự cố này nhấn mạnh tầm quan trọng của việc cập nhật bản vá kịp thời và giám sát liên tục cơ sở hạ tầng biên, đặc biệt khi các đối tượng đe dọa ngày càng tự động hóa việc khai thác các lỗ hổng mới được công bố.
