Un día de demora dejó expuesto todo el perímetro corporativo: falla crítica en Ivanti Sentry desencadenó un ataque masivo en 24 horas
Ivanti otra vez no avisó a tiempo a sus clientes de que ya estaban siendo hackeados.
Un día sin actualizar podría convertir la puerta de enlace de seguridad de una empresa en un punto de entrada conveniente para los atacantes. Los especialistas Shadowserver informaron sobre intentos masivos de explotar una vulnerabilidad crítica en Ivanti Sentry, que permite ejecutar comandos con privilegios root en dispositivos accesibles desde internet.
El problema recibió el identificador CVE-2026-10520 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H — 10.0 Crítica) y está relacionado con la inyección de comandos del sistema operativo. Ivanti corrigió la vulnerabilidad el 9 de junio, publicando las versiones Sentry R10.5.2, R10.6.2 y R10.7.1. Al publicar las correcciones, la empresa declaró que no veía indicios de ataques a clientes.
Ya al día siguiente Shadowserver mostró otra imagen. Según los datos de la organización, los atacantes comenzaron a usar el código de prueba de concepto público y trataron de infectar pasarelas Ivanti Sentry accesibles en la red. Durante el escaneo, los especialistas encontraron 19 dispositivos vulnerables, al menos 2 de los cuales los atacantes ya habían comprometido. Shadowserver considera que los demás, probablemente, también podrían haber sido comprometidos.
Ivanti Sentry, anteriormente conocido como MobileIron Sentry, protege el intercambio de datos entre los sistemas corporativos internos y los dispositivos móviles remotos. Por eso una explotación exitosa de esa pasarela es especialmente peligrosa. El dispositivo se sitúa en el límite de la infraestructura corporativa y puede abrir el acceso a recursos internos de la empresa.
Shadowserver advirtió por separado que el número real de pasarelas vulnerables podría ser mayor. Parte de los dispositivos no está disponible para escaneo, posiblemente debido al bloqueo de los sistemas de búsqueda y verificación. La organización declaró explícitamente que los propietarios de Ivanti Sentry que no hayan actualizado probablemente ya corren riesgo de compromiso.
Ivanti aún no ha actualizado su aviso, en el que sigue afirmando la ausencia de casos conocidos de explotación en el momento de la divulgación de la vulnerabilidad.
Los productos de Ivanti atraen regularmente la atención de los atacantes, ya que los errores en estos sistemas permiten entrar en redes corporativas y acceder a datos confidenciales. En los últimos años, la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos incluyó 34 vulnerabilidades en distintos productos de Ivanti en el catálogo de errores explotados activamente. En 12 casos, esas vulnerabilidades también se utilizaron en ataques con programas de rescate.
A los propietarios de Ivanti Sentry se les recomienda instalar urgentemente las versiones R10.5.2, R10.6.2 o R10.7.1, y además verificar los dispositivos en busca de señales de intrusión. Una simple actualización después de que los atacantes hayan comenzado a explotar masivamente la vulnerabilidad puede no resolver el problema si ya se han afianzado en el sistema.