Ivanti Sentry bajo ataque: un fallo CVSS 10.0 da control root sin autenticación
Resumen rápido
Un fallo de inyección de comandos de severidad máxima en Ivanti Sentry permite a un atacante no autenticado tomar el control total del appliance. CISA lo metió en su catálogo de explotados activamente y hay backdoors confirmados.
Ivanti Sentry vuelve a ser noticia, y no para bien. El 9 de junio Ivanti publicó parches para CVE-2026-10520, un fallo de inyección de comandos del sistema operativo (CWE-78) con la puntuación máxima posible, CVSS 10.0. La pega: permite a un atacante remoto y sin autenticación ejecutar comandos como root en el appliance.
Sentry no es un equipo cualquiera. Hace de pasarela entre los dispositivos móviles de una organización y sus sistemas internos (correo Exchange/ActiveSync, aplicaciones corporativas). Comprometerlo significa que el atacante deja de estar "fuera" para situarse dentro del perímetro de confianza de la red.
La cosa fue rápida. Un día después del parche se publicó una prueba de concepto, y la fundación Shadowserver detectó en sus escaneos appliances Sentry expuestos en internet ya con backdoors instalados pocas horas después. El 11 de junio CISA añadió el CVE a su catálogo de vulnerabilidades explotadas activamente (KEV) y dio a las agencias federales de EE. UU. solo tres días para parchear. Junto a este fallo se corrigió además CVE-2026-10523, un bypass de autenticación que permite crear cuentas de administrador.
Las versiones afectadas son Ivanti Sentry anteriores a R10.5.2, R10.6.2 y R10.7.1. La explotación requiere acceso al puerto de gestión 8443, que nunca debería estar expuesto a internet. Si tu appliance estuvo accesible desde fuera antes de parchear, la recomendación del sector es clara: da por hecho que pudo ser comprometido y busca indicadores de intrusión, porque un parche no elimina un backdoor ya instalado.
¿Estás cubierto en DefensOps?
Un fallo así no termina con la ejecución del comando: el atacante despliega un backdoor, establece un canal de mando y control (C2) y se mueve hacia los sistemas internos. Ahí es donde DefensOps trabaja en capas:
- NDR (motor Zeek/Suricata, reglas 112xxx) detecta la explotación en el tráfico HTTP hacia el appliance y, sobre todo, el C2 posterior: conexiones anómalas de larga duración y patrones de beaconing saliente (MITRE T1190, T1071).
- Reglas premium (111xxx) se activan cuando el atacante pivota hacia hosts Windows internos: ejecución de web shells, comandos sospechosos y movimiento lateral (T1505.003, T1059, T1021).
- El análisis con IA de la cadena de ataque (planes Professional y Enterprise) reconstruye la secuencia completa, del appliance comprometido al objetivo final, para que tu equipo vea la historia y no 200 alertas sueltas.
¿Tienes appliances expuestos y no sabes si ya te han tocado? Te montamos una demo y revisamos tu cobertura. → Ver planes y pedir demo
Fuente: Catálogo CISA KEV · Advisory de Ivanti (CVE-2026-10520 / CVE-2026-10523) · NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-10520
¿Estás cubierto en DefensOps?
DefensOps detecta esta amenaza desde el plan Essential.
Técnicas MITRE ATT&CK: T1190, T1505.003, T1059, T1078
- Explotación de servicio público / edge appliance · T1190 — Exploit Public-Facing Application · regla 111820 · plan Essential
- Web shell desplegado en dispositivo de borde · T1505.003 — Web Shell · regla 111824 · plan Essential
- Ejecución de comandos como root tras petición HTTP anómala · T1059 — Command and Scripting Interpreter · regla 111831 · plan Professional
Protege tu organización con DefensOps
SIEM, detección gestionada y respuesta. Descubre cómo cubrimos amenazas como esta.