كشفت شركة Rapid7 عن ثغرتين أمنيتين حرجتين تؤثران في بوابة Ivanti Sentry، وذلك في أعقاب تنبيه أمني نشرته شركة Ivanti. يتناول التنبيه الخللين الحرجين (CVE-2026-10520 بتقييم CVSS عند 10.0) و(CVE-2026-10523 بتقييم CVSS عند 9.9)، معلنة في الوقت نفسه عن إتاحة إصدارات مصححة لمعالجة هذه المخاطر.
تتيح الثغرة CVE-2026-10520 لمهاجم عن بُعد تنفيذ أوامر برمجية على نظام التشغيل بصلاحيات مسؤول النظام (Root) دون الحاجة إلى مصادقة. بينما ترتبط الثغرة الثانية بتجاوز آليات المصادقة، وتسمح للمهاجمين بإنشاء حسابات إدارية واكتساب صلاحيات وصول كاملة للمنظومة.
تستهدف هاتان الثغرتان الإصدارات 10.7.0 و10.6.1 و10.5.1 وما قبلها من بوابة Ivanti Sentry. ولمعالجة هذا الخلل، طرحت الشركة التحديثات الأمنية المصححة ذات الأرقام 10.7.1 و10.6.2 و10.5.2. وأفادت Ivanti بعدم رصد أي عمليات استغلال نشطة للثغرتين في بيئات العملاء حتى وقت الإفصاح عنهما.
ومع ذلك، تصاعدت حساسية هذا الموقف الأمني بعد أن نشرت مختبرات watchTowr Labs، يوم الأربعاء 10 يونيو 2026، تحليلاً تقنياً مفصلاً للثغرة CVE-2026-10520. وبين التحليل أن مسار الاستغلال يكمن في نقطة طرفية غير موثقة داخل التطبيق عند المسار /mics/api/v2/sentry/mics-config/handleMessage؛ إذ يتم تمرير مدخلات المستخدم مباشرة إلى آلية داخلية مخصصة لمعالجة أوامر التهيئة، ما يفتح ثغرة للوصول إلى مسار تنفيذ أوامر النظام.
وطبقاً للتحليل التقني، تضمنت معالجة Ivanti للخلل تقليص تحكم المستخدم في سلسلة الأوامر، إلى جانب إضافة ضوابط حماية أمامية تحظر الوصول غير المصرح به لنقطة النهاية المتأثرة. ويؤدي نشر نموذج إثبات الاستغلال (PoC) علناً إلى زيادة احتمالية قيام الجهات التهديدية بمسح واختبار الأنظمة المكشوفة، ولا سيما أن منتجات Ivanti الطرفية تُعد هدفاً متكرراً لحملات الاستغلال النشطة.
بناء على ذلك، توصي Rapid7 المؤسسات التي تستخدم الإصدارات المتأثرة بتطبيق التحديثات الأمنية فوراً وخارج دورات التصحيح المعتادة؛ نظراً لارتفاع مستوى الخطورة، وطبيعة الاستغلال التي لا تتطلب مصادقة، وتوفر تفاصيل تقنية عملية لإحدى الثغرات. كما يتعين على فرق الأمن السيبراني حصر أجهزة Ivanti Sentry المتصلة بالشبكة، والتحقق من أرقام إصداراتها، ومراجعة سجلات النظام للتحري عن أي محاولات وصول مشبوهة للمسارات المتأثرة.
