Saldırganlar, Ivanti Sentry güvenlik ağ geçitlerinde yakın zamanda yamalanan maksimum şiddette bir güvenlik açığını hedef almaya başladı. Shadowserver kar amacı gütmeyen güvenlik kuruluşunun tespitlerine göre, CVE-2026-10520 numarasıyla takip edilen bu zafiyet, saldırganların internet üzerinden erişilebilen güvenli mobil ağ geçitlerinde root ayrıcalıklarıyla kod çalıştırmasına olanak tanıyor. Ivanti, Salı günü yayınladığı R10.5.2, R10.6.2 ve R10.7.1 sürümleriyle bu güvenlik açığını yamalarken, Shadowserver ertesi gün internete açık Sentry ağ geçitlerinin çoğunun zaten arka kapıyla ele geçirildiğini bildirdi.

OS Komut Enjeksiyonu Zafiyeti Root Yetkisiyle Kod Çalıştırmaya İzin Veriyor

CVE-2026-10520 numaralı Ivanti Sentry güvenlik açığı, bir işletim sistemi komut enjeksiyonu zayıflığından kaynaklanıyor. Saldırganlar bu zafiyeti kullanarak, MobileIron Sentry olarak da bilinen güvenlik ağ geçidi cihazlarında root yetkileriyle keyfi komutlar çalıştırabiliyor. Shadowserver’in yaptığı açıklamaya göre, kuruluş kendi taramalarında 19 savunmasız örnek tespit etti ve bunlardan en az ikisinin arka kapıyla ele geçirildiğini doğruladı. İnternet güvenlik gözlemcisi, birden fazla Ivanti Sentry örneğinin taramalarında ulaşılamaz durumda olması nedeniyle tespitlerinin düşük seviyede kaldığını, bu nedenle gerçekte ele geçirilen cihaz sayısının çok daha fazla olabileceğini belirtti.

Shadowserver, kamuya açık kavram kanıtı kodunun yayınlanmasının ardından büyük miktarda CVE-2026-10520 istismar girişimi gözlemledi. Kuruluş, halihazırda yama uygulamayan tüm Ivanti Sentry yöneticilerinin sistemlerinin büyük olasılıkla ele geçirilmiş olduğu konusunda uyarıyor. Ivanti ise Salı günü yayınladığı güvenlik danışma belgesinde, açıklama anında herhangi bir müşterinin bu güvenlik açıklarından etkilendiğine dair bir kanıt bulunmadığını belirtmişti. Şirket henüz bu uyarıyı güncellemedi.

Bilgisayar Korsanları Ivanti Güvenlik Açıklarını Kurumsal Ağlara Giriş Kapısı Olarak Kullanıyor

Saldırganlar, Ivanti ürünlerindeki güvenlik açıklarını sıklıkla hedefliyor çünkü bu zafiyetler, kurumsal ağlara giriş noktası sağlayarak hassas müşteri ve şirket verilerinin çalınmasına olanak tanıyor. Son yıllarda birden fazla Ivanti sıfır gün açığı, dünya çapındaki devlet kurumları da dahil olmak üzere geniş bir hedef yelpazesine yönelik saldırılarda kullanıldı. Geçtiğimiz ay CISA, ABD federal kurumlarına Ivanti sistemlerini yamalama emri verdi. Bu karar, şirketin daha önce sıfır gün saldırılarında kullanıldığını doğruladığı yüksek şiddette bir Endpoint Manager Mobile uzaktan kod yürütme güvenlik açığı konusunda müşterilerini uyarmasının ardından geldi.

Son birkaç yılda CISA, çeşitli Ivanti ürünlerindeki 34 güvenlik açığını vahşi doğada aktif olarak kullanılanlar listesine ekledi. Bu açıklardan on ikisi aynı zamanda fidye yazılımı saldırılarında da hedef alındı. Ivanti’nin dünya çapında 7.000’den fazla ortağı ve 3.000’den fazla çalışanı bulunuyor. Şirketin BT varlık yönetimi çözümleri, küresel çapta 40.000’den fazla müşteri tarafından kullanılıyor.