Ivanti-feil gir root før helgens patchfrist

Ivanti Sentry er igjen på hastebordet. Den viktigste sårbarheten, CVE-2026-10520, er en OS command injection-feil som kan gi en ekstern angriper root-nivå remote code execution uten innlogging. CISA la feilen inn i Known Exploited Vulnerabilities-katalogen 11. juni, med frist 14. juni for amerikanske føderale virksomheter. Det er kort frist fordi risikoen er praktisk, ikke teoretisk.

NVD beskriver feilen som kritisk med CVSS 10.0. Den gjelder Ivanti Sentry før versjonene R10.5.2, R10.6.2 og R10.7.1. CISA skriver at sårbarheten kan utnyttes der Sentry-apparatet står i en unmanaged state og endepunktene er tilgjengelige utenfra. Bruk av mTLS mot EPMM, eller begrenset HTTPS-tilgang via Neurons for MDM, skal redusere eksponeringen. Det er likevel ikke en formulering norske sikkerhetsledere bør lese som en hvilepute. Den praktiske oppgaven er å avklare eksponering, versjon og tegn til kompromittering.

Ivanti-advisoryen dekker også CVE-2026-10523. Den er vurdert til CVSS 9.9 og beskrives av NVD som en authentication bypass-feil som kan gjøre det mulig å opprette administrative kontoer og få full administrativ tilgang. Kombinasjonen av root-kodekjøring og administrativ overtakelse er akkurat den typen sårbarhet som gjør gateway-produkter til prioriterte mål. Slike systemer står ofte tett på mobilflåte, e-post, sertifikater og interne tilgangsstier. Når de ryker, ryker sjelden bare én applikasjon.

For CIO og CISO er dette mindre en Ivanti-sak enn en ny påminnelse om gateway-risiko. VPN, MDM, reverse proxy og sikkerhetsapparater har blitt attraktive fordi de både er eksponert og høyt privilegerte. De er også vanskelige å overvåke godt. Mange virksomheter behandler dem fortsatt som infrastruktur som bare skal være oppe. Det holder ikke lenger. Disse komponentene må inn i samme risikoregime som identitetsplattform, sky-kontrollplan og backup.

Det første spørsmålet bør være om virksomheten faktisk har Sentry. Det høres banalt ut, men gamle mobile management-komponenter kan leve lenge etter at organisasjonen tror den er migrert videre. Sjekk CMDB, brannmurregler, DNS, eksterne skanninger, leverandøroversikter og driftsteamets faktiske apparatliste. Deretter må versjon og eksponering bekreftes. Hvis systemet ikke allerede er på R10.5.2, R10.6.2 eller R10.7.1, må patch eller leverandørens mitigasjoner behandles som hastearbeid.

Det andre spørsmålet er om apparatet har vært tilgjengelig fra internett eller fra nettverk angripere realistisk kan nå. CISA ber eksplisitt om at berørte aktiva vurderes mot BOD 26-04 og at forensics triage gjennomføres. Oversatt til norsk lederhverdag: ikke stopp ved å installere patchen. Be om logger, kontoopprettelser, konfigurasjonsendringer, nye nøkler, uvanlige API-kall og endringer i integrasjoner. Der gatewayen er koblet mot MDM eller identitet, må downstream-tilganger også vurderes.

Dette er også en leverandørstyringssak. Hvis Sentry driftes av en partner, bør bestillingen være konkret: hvilken versjon kjører vi, var grensesnitt eksponert, hvilke mitigasjoner er aktivert, hvilke indikatorer er sjekket, og når ble kontrollen utført. Et ja på «vi følger med» er ikke et svar. Et godt svar inneholder tidspunkt, versjon, konfigurasjon og bevis på triage.

Den brede lærdommen er at patch-SLA alene er for tregt for edge-produkter. CISA-fristen på tre dager passer dårlig med kvartalsvise vedlikeholdsvinduer. Norske virksomheter som fortsatt har faste patchløp for intern infrastruktur, men ad hoc-håndtering av gatewayer, bør snu prioriteten. Eksponerte kontrollpunkter trenger egen beredskapskanal, forhåndsavklarte nedetidsvalg og tydelig eier.

Det gjør vondt å patche slike systemer i en helg. Det gjør mer vondt å forklare hvorfor en kjent, aktivt utnyttet root-feil sto åpen fordi apparatet lå mellom to team.

Kilder og medier

• Primærkilde: Ivanti, sikkerhetsadvisory for Ivanti Sentry CVE-2026-10520 og CVE-2026-10523: https://hub.ivanti.com/s/article/Security-Advisory-Ivanti-Sentry-CVE-2026-10520-CVE-2026-10523?language=en_US
• Bekreftelse: CISA Known Exploited Vulnerabilities Catalog, CVE-2026-10520 lagt til 11. juni 2026 med frist 14. juni 2026: https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2026-10520
• Teknisk referanse: NVD, CVE-2026-10520 og CVE-2026-10523.
• Thumbnail: OpenAI Image 2 / hogby.ai