Ivanti Sentry vuelve a ser noticia, y no para bien. El 9 de junio Ivanti publicó parches para CVE-2026-10520, un fallo de inyección de comandos del sistema operativo (CWE-78) con la puntuación máxima posible, CVSS 10.0. La pega: permite a un atacante remoto y sin autenticación ejecutar comandos como root en el appliance.

Sentry no es un equipo cualquiera. Hace de pasarela entre los dispositivos móviles de una organización y sus sistemas internos (correo Exchange/ActiveSync, aplicaciones corporativas). Comprometerlo significa que el atacante deja de estar "fuera" para situarse dentro del perímetro de confianza de la red.

Cadena de ataque a Ivanti Sentry
Del appliance expuesto en internet al movimiento lateral interno, con las técnicas MITRE ATT&CK que DefensOps detecta en cada fase.

La cosa fue rápida. Un día después del parche se publicó una prueba de concepto, y la fundación Shadowserver detectó en sus escaneos appliances Sentry expuestos en internet ya con backdoors instalados pocas horas después. El 11 de junio CISA añadió el CVE a su catálogo de vulnerabilidades explotadas activamente (KEV) y dio a las agencias federales de EE. UU. solo tres días para parchear. Junto a este fallo se corrigió además CVE-2026-10523, un bypass de autenticación que permite crear cuentas de administrador.

Las versiones afectadas son Ivanti Sentry anteriores a R10.5.2, R10.6.2 y R10.7.1. La explotación requiere acceso al puerto de gestión 8443, que nunca debería estar expuesto a internet. Si tu appliance estuvo accesible desde fuera antes de parchear, la recomendación del sector es clara: da por hecho que pudo ser comprometido y busca indicadores de intrusión, porque un parche no elimina un backdoor ya instalado.

¿Estás cubierto en DefensOps?

Un fallo así no termina con la ejecución del comando: el atacante despliega un backdoor, establece un canal de mando y control (C2) y se mueve hacia los sistemas internos. Ahí es donde DefensOps trabaja en capas:

  • NDR (motor Zeek/Suricata, reglas 112xxx) detecta la explotación en el tráfico HTTP hacia el appliance y, sobre todo, el C2 posterior: conexiones anómalas de larga duración y patrones de beaconing saliente (MITRE T1190, T1071).
  • Reglas premium (111xxx) se activan cuando el atacante pivota hacia hosts Windows internos: ejecución de web shells, comandos sospechosos y movimiento lateral (T1505.003, T1059, T1021).
  • El análisis con IA de la cadena de ataque (planes Professional y Enterprise) reconstruye la secuencia completa, del appliance comprometido al objetivo final, para que tu equipo vea la historia y no 200 alertas sueltas.

¿Tienes appliances expuestos y no sabes si ya te han tocado? Te montamos una demo y revisamos tu cobertura.Ver planes y pedir demo

Fuente: Catálogo CISA KEV · Advisory de Ivanti (CVE-2026-10520 / CVE-2026-10523) · NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-10520