Ivanti a signalé deux vulnérabilités critiques affectant Ivanti Sentry, sa passerelle utilisée dans de nombreux environnements de gestion de terminaux mobiles et d’accès applicatif. D’après les informations publiées et relayées par BleepingComputer, l’une d’elles, CVE-2026-10520, permet une exécution de code à distance avec les privilèges root sur l’équipement. Le niveau de gravité communiqué est maximal. Pour les équipes d’exploitation, de sécurité et les RSSI, l’enjeu dépasse largement le périmètre « mobile » : une compromission de Ivanti Sentry vise un composant serveur exposé, placé au carrefour des flux entre terminaux, services d’entreprise et briques d’authentification.

Le risque est donc double. D’une part, un attaquant peut chercher à prendre le contrôle de la passerelle elle-même, avec un impact direct sur la disponibilité et l’intégrité du service. D’autre part, la position de Sentry dans l’architecture MDM/MAM en fait un point d’observation et de transit potentiellement très sensible : échanges avec les terminaux, connexions vers les services de messagerie ou d’applications, informations d’authentification ou de session selon le déploiement, et parfois accès à des segments réseau internes. Dans des environnements exposés sur Internet, la priorité opérationnelle est claire : identifier les instances concernées, appliquer la version corrigée publiée par Ivanti et réduire immédiatement l’exposition réseau.

La communication initiale relayée par BleepingComputer mentionne deux failles critiques, mais les éléments techniques publics détaillés restent, au moment de la rédaction, limités. Dans ce contexte, il faut rester strict sur les faits établis : CVE-2026-10520 est bien identifiée comme une faille critique permettant l’exécution de code à distance en root, Ivanti a publié des mises à jour, et l’éditeur recommande la remédiation sans délai. Lorsque l’architecture s’appuie sur Ivanti Sentry pour protéger ou relayer des accès à des ressources d’entreprise, l’exposition doit être traitée comme un sujet serveur prioritaire, au même titre qu’une passerelle VPN, un reverse proxy ou un bastion applicatif.

Source originale citée dans la presse spécialisée : communication d’Ivanti relayée par BleepingComputer dans l’article « Ivanti: Max severity Sentry flaw allows code execution as root ». La validation des versions exactes et des packages à installer doit être faite à partir de l’advisory officiel Ivanti et de la documentation de mise à jour de l’éditeur.

Versions affectées

Les informations publiques disponibles au moment de cette alerte confirment l’existence de deux vulnérabilités critiques affectant Ivanti Sentry, dont CVE-2026-10520. En revanche, les détails exhaustifs sur l’ensemble des branches concernées et les numéros de version corrigés ne doivent pas être extrapolés sans l’advisory officiel de l’éditeur.

  • Produit concerné : Ivanti Sentry
  • Vulnérabilité confirmée : CVE-2026-10520
  • Gravité : critique, sévérité maximale selon la communication relayée
  • Impact confirmé : exécution de code à distance avec privilèges root
  • Correctif : une version corrigée publiée par l’éditeur est disponible

En pratique, les administrateurs doivent inventorier toutes les instances Ivanti Sentry en production, préproduction, PRA et laboratoires connectés, puis vérifier :

  • la version logicielle exacte installée ;
  • la branche de maintenance supportée ;
  • la présence d’une image ou d’un package de mise à jour fourni par Ivanti ;
  • les dépendances d’architecture, notamment avec la plateforme MDM associée et les composants d’authentification ;
  • l’exposition Internet directe ou indirecte via un répartiteur, un WAF ou un reverse proxy.

Si votre organisation s’appuie sur un hébergeur ou un infogérant, y compris dans des environnements hybrides hébergés chez OVHcloud, Scaleway, o2switch ou sur infrastructure privée, il faut demander une confirmation explicite de la version déployée et du calendrier de mise à jour. Dans beaucoup d’organisations, Sentry n’est pas géré par la même équipe que les serveurs Linux classiques ; il peut donc échapper à l’inventaire de patch management standard.

Cette étape d’inventaire est essentielle, car les équipements de passerelle MDM sont souvent perçus comme des appliances « métier » alors qu’ils doivent être traités comme des serveurs exposés critiques. Le fait qu’une faille permette une exécution de code en root change immédiatement la qualification du risque : la compromission n’est pas limitée à une fonction applicative, elle peut conduire à une prise de contrôle complète du système hôte.

Vecteur d'attaque

Le point le plus important à retenir est que l’impact annoncé ne concerne pas seulement des terminaux mobiles, mais une passerelle serveur exposée. Ivanti Sentry est généralement positionné entre les terminaux gérés et les services d’entreprise. Selon les déploiements, il peut relayer ou filtrer des accès à la messagerie, à des applications internes, à des API et à des ressources protégées. Une vulnérabilité d’exécution de code à distance sur cet élément permet donc à un attaquant de viser directement le plan serveur, sans avoir à compromettre au préalable un smartphone ou une tablette.

Quand une faille aboutit à une exécution de code en root, le scénario de menace dépasse l’exploitation ponctuelle d’un bug applicatif :

  • prise de contrôle de la passerelle ;
  • altération de la configuration de sécurité ;
  • interception ou redirection de flux transitant par le composant ;
  • déploiement d’outils persistants ou de portes dérobées ;
  • pivot vers d’autres systèmes internes accessibles depuis l’équipement ;
  • collecte d’artefacts d’authentification, de journaux ou de secrets locaux selon la configuration.

Dans un environnement MDM, cela a des conséquences concrètes. La passerelle peut être intégrée à la chaîne d’accès aux données professionnelles sur mobile, à la distribution d’applications, à l’accès à la messagerie ou à des applications internes. Si l’attaquant contrôle le serveur, il peut chercher à :

  • perturber les services de mobilité d’entreprise ;
  • observer des métadonnées de connexion ;
  • modifier des comportements de proxy ou de routage ;
  • préparer des attaques secondaires contre les utilisateurs ou les services internes ;
  • utiliser la passerelle comme point d’entrée pour contourner des contrôles périmétriques.

L’aspect « root » est déterminant. Sur une appliance ou un système Linux embarquant la passerelle, ce niveau de privilège permet typiquement d’accéder aux fichiers de configuration, aux clés locales, aux certificats présents sur le système, aux mécanismes de journalisation et aux services réseau. Même en l’absence de détails publics sur le vecteur exact, la combinaison RCE distante + privilèges root + composant exposé suffit à classer l’incident en priorité de traitement immédiate.

Pourquoi le périmètre dépasse le mobile

Beaucoup d’organisations associent encore les solutions MDM à un domaine purement poste utilisateur. C’est une erreur de lecture dans ce cas précis. Ivanti Sentry n’est pas un agent installé sur un terminal, mais une passerelle applicative et réseau. Elle se situe à l’intersection de plusieurs zones de confiance :

  • Internet ou réseaux externes ;
  • terminaux mobiles d’entreprise ;
  • services d’authentification ;
  • applications internes ;
  • services de messagerie ou de contenu ;
  • outils d’administration MDM.

Une faille critique sur cette brique peut donc avoir un impact transversal. Pour un RSSI, cela signifie que le sujet doit être piloté comme une vulnérabilité de passerelle d’accès, pas seulement comme un incident « mobilité ». Pour une équipe DevOps ou infra, cela implique une revue rapide des dépendances réseau, des ACL, des certificats, des secrets et des journaux associés à l’équipement.

Scénarios d’attaque plausibles

Sans extrapoler au-delà des faits publics, plusieurs scénarios opérationnels sont cohérents avec une RCE root sur une passerelle exposée :

  • Compromission initiale depuis Internet : l’attaquant cible une interface ou un service exposé de Sentry, obtient une exécution de code et installe un accès persistant.
  • Pivot interne : une fois sur la passerelle, il tente d’atteindre les systèmes avec lesquels elle communique, par exemple des services d’authentification, des API internes ou des consoles de gestion.
  • Manipulation de flux : si la topologie le permet, il modifie la configuration locale pour rediriger, journaliser ou perturber certains échanges.
  • Sabotage ciblé : il altère le fonctionnement de la solution MDM, provoquant une indisponibilité des accès mobiles ou un dysfonctionnement des politiques d’entreprise.

Ces scénarios rappellent une réalité récurrente de l’écosystème : les appliances de sécurité, de mobilité ou d’accès distant sont des cibles privilégiées parce qu’elles sont exposées, critiques, et souvent moins intégrées aux cycles de patching que les serveurs applicatifs classiques.

Impact

L’impact métier dépend du rôle exact de Ivanti Sentry dans l’organisation, mais plusieurs dimensions doivent être évaluées immédiatement.

Disponibilité

Une compromission peut entraîner une interruption du service de mobilité, de messagerie ou d’accès applicatif pour une partie des utilisateurs. Dans des secteurs où le mobile est un canal de travail principal, cela peut bloquer des populations entières : équipes terrain, direction, support, commerciaux ou personnels de santé.

Intégrité

Avec des privilèges root, un attaquant peut potentiellement modifier des fichiers de configuration, des certificats, des scripts de démarrage ou des règles de sécurité locales. Même si l’attaque est contenue rapidement, la confiance dans l’intégrité de l’équipement doit être remise en question.

Confidentialité

La passerelle traite ou relaie des flux sensibles. Selon l’architecture, elle peut contenir des journaux, des paramètres réseau, des informations de connexion de service à service, ou des certificats. Il faut donc considérer un risque de fuite d’informations techniques, voire d’artefacts facilitant une compromission ultérieure.

Risque de chaîne d’attaque

Le danger principal n’est pas uniquement l’accès au serveur lui-même, mais son usage comme point d’appui vers le reste du SI. Une passerelle MDM compromise peut devenir un relais discret pour la reconnaissance interne, l’accès à des API, ou la préparation d’attaques contre d’autres composants de l’écosystème Ivanti ou de l’infrastructure d’entreprise.

Pour les organisations soumises à des obligations réglementaires ou contractuelles, il faut également évaluer si l’incident entre dans le périmètre de notification interne, client ou sectorielle. En France, les structures concernées peuvent s’appuyer sur les publications du CERT-FR lorsqu’une vulnérabilité fait l’objet d’un suivi spécifique, ainsi que sur leurs procédures d’escalade habituelles.

Comment patcher

La remédiation prioritaire consiste à installer la version corrigée publiée par Ivanti. Comme il s’agit d’un produit éditeur distribué sous forme d’appliance ou de package spécifique, il ne faut pas improviser avec des commandes génériques de type apt upgrade ou dnf upgrade sans suivre la procédure officielle. La méthode exacte dépend du mode de déploiement de votre instance Ivanti Sentry.

Les actions minimales à mener sont les suivantes :

  • identifier la version actuellement installée ;
  • récupérer l’advisory officiel Ivanti associé à CVE-2026-10520 et à la seconde faille critique mentionnée ;
  • télécharger l’image, le package ou la mise à jour recommandée par l’éditeur ;
  • planifier une fenêtre de maintenance si nécessaire ;
  • effectuer une sauvegarde de configuration selon les préconisations Ivanti ;
  • appliquer la mise à jour ;
  • redémarrer ou valider le redémarrage des services concernés ;
  • contrôler la version après mise à jour ;
  • vérifier l’intégrité fonctionnelle des flux MDM et des accès associés.

Exemples de vérifications système

Les commandes exactes de mise à jour dépendent du support Ivanti. En revanche, les équipes peuvent préparer l’intervention avec des vérifications de base sur l’hôte ou l’appliance, lorsqu’un accès shell d’administration est prévu par le produit et autorisé dans votre procédure.

# Identifier la version du système ou du composant si l'éditeur le documente
cat /etc/os-release
uname -a

# Rechercher des services liés à Sentry
systemctl list-units | grep -i sentry

# Vérifier les ports en écoute avant et après maintenance
ss -lntp

# Contrôler l'espace disque avant mise à jour
df -h

Ces commandes ne remplacent pas la procédure Ivanti, mais elles aident à préparer et documenter l’opération. La mise à jour elle-même doit suivre la documentation officielle de l’éditeur, y compris pour les prérequis de compatibilité avec la plateforme de gestion mobile associée.

Points de contrôle après correctif

  • la version affichée correspond bien à la version corrigée publiée par l’éditeur ;
  • les services Sentry sont démarrés et stables ;
  • les certificats et connecteurs applicatifs sont toujours valides ;
  • les flux attendus vers les services internes fonctionnent ;
  • les journaux ne montrent pas d’erreurs répétées après redémarrage ;
  • l’exposition réseau n’a pas été élargie par inadvertance pendant l’intervention.

Si l’équipement est administré par un prestataire, exigez une preuve de version corrigée, un compte rendu d’intervention et, idéalement, une vérification d’absence d’indicateurs de compromission sur la période précédant le patch.

Mitigation

Lorsque le correctif ne peut pas être appliqué immédiatement, il faut réduire l’exposition au maximum. Cette phase ne remplace pas le patch, mais elle peut diminuer la fenêtre d’attaque.

  • Limiter l’exposition Internet : restreindre les sources autorisées en amont via pare-feu, ACL, groupes de sécurité ou filtrage d’adresse.
  • Passer par un frontal contrôlé : si l’architecture le permet, placer l’accès derrière un reverse proxy ou un filtrage réseau strict, sans ouvrir plus de surface que nécessaire.
  • Désactiver les interfaces non indispensables : couper les services d’administration ou d’accès non utilisés jusqu’à l’application du correctif.
  • Segmenter : réduire au minimum les communications sortantes et latérales depuis l’équipement vers le SI.
  • Renforcer la supervision : augmenter la collecte de journaux, les alertes réseau et la surveillance des accès.
  • Préparer l’isolement : disposer d’une procédure claire pour retirer rapidement l’instance du réseau en cas d’activité suspecte.

Pour des environnements hébergés ou interconnectés via des infrastructures cloud, il faut vérifier les groupes de sécurité, les règles de load balancer, les ACL réseau et l’éventuelle publication DNS. Dans bien des cas, des instances de secours, de test ou de PRA restent exposées alors qu’elles ne sont pas activement supervisées.

Une mesure simple mais souvent efficace consiste à restreindre l’accès aux seules plages IP connues lorsque c’est compatible avec l’usage métier. Si le service doit rester accessible depuis Internet, il faut au minimum :

  • journaliser les requêtes entrantes ;
  • corréler les événements avec votre SIEM ;
  • vérifier les tentatives d’accès anormales sur les interfaces exposées ;
  • surveiller toute création de processus ou connexion sortante inhabituelle depuis l’équipement.

Détection

En l’absence de détails techniques complets publiquement documentés sur le mécanisme d’exploitation, la détection doit s’appuyer sur des signaux faibles mais utiles autour d’une compromission d’appliance exposée.

Indicateurs à rechercher

  • redémarrages ou arrêts de services Sentry non planifiés ;
  • apparition de processus inconnus ;
  • connexions sortantes inhabituelles depuis la passerelle vers Internet ou vers des segments internes non attendus ;
  • modification de fichiers de configuration, certificats ou scripts système ;
  • création de comptes, clés SSH ou tâches planifiées non autorisés ;
  • pics de requêtes sur les interfaces exposées ;
  • logs d’erreur applicative corrélés à des requêtes externes anormales ;
  • écarts de hachage sur des fichiers système ou applicatifs si vous avez une base de référence.

Exemples de contrôles techniques

# Connexions réseau actives et écoute
ss -pant
ss -lntp

# Processus récents ou inattendus
ps auxf

# Comptes système et accès SSH
getent passwd
ls -la /root/.ssh/
ls -la /home/*/.ssh/

# Tâches planifiées
crontab -l
ls -la /etc/cron.d
systemctl list-timers

# Fichiers modifiés récemment dans les répertoires usuels
find /etc -type f -mtime -7
find /opt -type f -mtime -7
find /var -type f -mtime -7

Ces commandes relèvent de l’hygiène d’investigation système et doivent être adaptées au modèle d’administration autorisé par Ivanti. Sur certaines appliances, l’accès shell est limité ou encadré ; il faut alors s’appuyer sur les outils de support, les exports de logs et la supervision réseau disponible.

Surveillance réseau

Du côté des équipements de sécurité, plusieurs signaux peuvent justifier une investigation :

  • augmentation brutale du volume de requêtes vers l’instance Sentry ;
  • séquences répétées d’appels HTTP ou HTTPS inhabituels ;
  • nouvelles destinations sortantes depuis la passerelle ;
  • flux vers des hôtes d’administration, de stockage ou de résolution DNS non habituels ;
  • communications latérales vers des actifs internes hors matrice de flux attendue.

Si vous disposez d’un WAF, d’un proxy inverse ou de journaux de load balancer, conservez et corrélez les traces sur une période suffisante. En cas de doute sérieux, la bonne approche n’est pas seulement de patcher, mais d’envisager une analyse de compromission : revue des journaux, comparaison de configuration, rotation des secrets potentiellement exposés et réinstallation si l’intégrité ne peut pas être garantie.

Comparaison avec des incidents récents sur les passerelles et appliances

Sans établir de parallèle hasardeux avec des références précises non documentées dans la source, cette alerte s’inscrit dans une tendance bien connue : les composants en bordure de SI, qu’il s’agisse de passerelles d’accès, d’appliances de sécurité, de VPN, de reverse proxies ou de solutions de mobilité, concentrent plusieurs facteurs de risque :

  • exposition directe à Internet ;
  • fonction critique pour le métier ;
  • droits élevés sur le système ;
  • liens forts avec l’authentification et les flux sensibles ;
  • cycles de mise à jour plus lents que sur des serveurs standards ;
  • visibilité parfois limitée dans les chaînes DevSecOps classiques.

Le cas Ivanti Sentry illustre parfaitement cette problématique. Une faille sur une brique perçue comme spécialisée peut devenir un événement de sécurité transverse touchant la production, la messagerie, les accès distants, la mobilité et potentiellement le réseau interne. Pour les RSSI, cela confirme la nécessité d’intégrer les appliances éditeur dans le même niveau d’exigence que les serveurs exposés traditionnels : inventaire, supervision, patching, journalisation, segmentation et procédures d’isolement.

Priorités concrètes pour les administrateurs et RSSI

Face à une vulnérabilité critique comme CVE-2026-10520, la réponse doit être structurée mais rapide.

  • Priorité 1 : recenser toutes les instances Ivanti Sentry.
  • Priorité 2 : vérifier la version et récupérer l’advisory officiel Ivanti.
  • Priorité 3 : appliquer la version corrigée publiée par l’éditeur.
  • Priorité 4 : réduire immédiatement l’exposition réseau des instances non encore corrigées.
  • Priorité 5 : investiguer les journaux et comportements anormaux sur la période récente.
  • Priorité 6 : revoir les secrets, certificats et accès associés si une compromission est suspectée.

Pour les organisations matures, cette alerte doit aussi servir de test de gouvernance : savez-vous localiser vos appliances critiques, connaître leur version, vérifier leur exposition et les patcher dans un délai court ? Si la réponse est partielle, il faut traiter le sujet comme un chantier de fond, au-delà de l’urgence immédiate.

La publication d’Ivanti relayée par BleepingComputer impose une réaction sans délai sur les environnements concernés. Une passerelle MDM compromise n’est pas un incident périphérique : c’est un risque serveur majeur avec potentiel de pivot et d’impact opérationnel fort. Une fois la mise à jour appliquée, il reste indispensable de consolider l’exposition, la journalisation et les procédures de durcissement. Pour aller plus loin sur l’hygiène de sécurisation des services exposés, la segmentation et les réflexes de remédiation, voir aussi les ressources de la catégorie /categorie/pratiques.

Rubrique Serveurs
Partager
Retour aux actualités