11 июня 2026 года три крупных производителя корпоративного ПО одновременно опубликовали исправления для критических уязвимостей. Среди них оказалась одна с максимально возможной оценкой CVSS 10.0, которую к тому моменту уже активно эксплуатировали в реальных атаках. Речь о CVE-2026-10520 в Ivanti Sentry.
Ivanti Sentry: дыра с оценкой 10.0
CVE-2026-10520 позволяет неаутентифицированному злоумышленнику выполнить произвольный код с правами root. Атака проводится через HTTP POST-запрос к конечной точке /mics/api/v2/sentry/mics-config/handleMessage на порту 8443. Исследователи из watchTowr Labs, в частности Sonny Macdonald, установили, что входящие данные обрабатываются как внутренняя команда конфигурации MICS и передаются методу handleExecute() внутри класса ConfigServiceController без какой-либо проверки подлинности. Rapid7 подтвердили эту цепочку в своём анализе.
Shadowserver Foundation 11 июня 2026 года зафиксировала «большое количество попыток эксплуатации» на основе публичного proof-of-concept и установила, что как минимум два устройства Ivanti Sentry уже получили бэкдоры. В тот же день CISA внесла CVE-2026-10520 в каталог Known Exploited Vulnerabilities (KEV). Федеральным гражданским ведомствам (FCEB) дали трое суток: крайний срок для установки патча — 14 июня 2026 года согласно Binding Operational Directive 22-01.
Уязвимые версии — все релизы до R10.5.2, R10.6.2 и R10.7.1. Патч закрывает доступ к уязвимой конечной точке и добавляет слой аутентификации с поддержкой mTLS через EPMM или ограниченный HTTPS через Neurons for MDM. Дополнительное условие успешной атаки: порт управления 8443 должен быть доступен извне, а само устройство находиться в неуправляемом состоянии.
Вторая уязвимость Ivanti: обход аутентификации с оценкой 9.9
В тех же версиях Ivanti Sentry присутствует CVE-2026-10523 (CVSS 9.9). Она даёт удалённому неаутентифицированному атакующему возможность создавать произвольные административные учётные записи, что фактически означает полный контроль над устройством. Исправление выходит в тех же релизах: R10.5.2, R10.6.2, R10.7.1. На момент публикации активной эксплуатации этой уязвимости зафиксировано не было, но в связке с CVE-2026-10520 картина выглядит по-настоящему неприятно.
Fortinet FortiSandbox: инъекция команд через веб-интерфейс
CVE-2026-25089 с оценкой CVSS 9.1 затрагивает FortiSandbox, FortiSandbox Cloud и FortiSandbox PaaS. Тип уязвимости — CWE-78, то есть недостаточная фильтрация специальных символов в командах операционной системы. Неаутентифицированный атакующий может выполнять произвольные команды через специально сформированные HTTP-запросы к веб-интерфейсу.
Затронутые версии:
SAP: четыре критические уязвимости без следов эксплуатации
SAP закрыла сразу четыре проблемы с оценками от 9.0 до 9.9. Технические детали по двум из них предоставила компания Onapsis, специализирующаяся на безопасности SAP-систем.
CVE-2026-44748 (CVSS 9.9) касается NetWeaver AS ABAP и ABAP Platform. Суть в атаке типа XML Signature Wrapping при SAML-аутентификации: аутентифицированный пользователь с обычными правами перехватывает валидно подписанное сообщение, модифицирует XML с подменой идентификатора, и система принимает его из-за некорректной проверки подписи. Результат — несанкционированный доступ к данным других пользователей.
CVE-2026-27671 (CVSS 9.8) затрагивает тот же Application Server ABAP. Неаутентифицированный атакующий отправляет специально сформированный RFC-запрос, который эксплуатирует логику валидации в ядре и приводит к повреждению памяти с потенциалом для удалённого выполнения кода или отказа в обслуживании.
CVE-2026-22732 (CVSS 9.1) в SAP Commerce Cloud и SAP Data Hub связана с уязвимостью в Spring Security. CVE-2026-40128 (CVSS 9.0) в NetWeaver Application Server Java — классический directory traversal, позволяющий читать файлы за пределами разрешённой директории.
По всем четырём SAP-уязвимостям на момент публикации не было зафиксировано ни одного случая эксплуатации в реальных атаках.
Как определить, скомпрометирован ли Ivanti Sentry
Для CVE-2026-10520 индикаторы компрометации достаточно конкретные. В логах стоит искать неаутентифицированные обращения к эндпоинту POST /mics/api/v2/sentry/mics-config/handleMessage. Подозрительно также появление новых административных учётных записей, которые никто не создавал вручную — это признак CVE-2026-10523. Сетевые подключения к порту 8443 из недоверенных источников тоже требуют внимания. Shadowserver прямо указывает: часть уже атакованных устройств получила постоянные бэкдоры, так что одного только патча может оказаться недостаточно.
Приоритеты при устранении
Первоочерёдность действий выглядит так:
Ivanti Sentry: дыра с оценкой 10.0
CVE-2026-10520 позволяет неаутентифицированному злоумышленнику выполнить произвольный код с правами root. Атака проводится через HTTP POST-запрос к конечной точке /mics/api/v2/sentry/mics-config/handleMessage на порту 8443. Исследователи из watchTowr Labs, в частности Sonny Macdonald, установили, что входящие данные обрабатываются как внутренняя команда конфигурации MICS и передаются методу handleExecute() внутри класса ConfigServiceController без какой-либо проверки подлинности. Rapid7 подтвердили эту цепочку в своём анализе.
Shadowserver Foundation 11 июня 2026 года зафиксировала «большое количество попыток эксплуатации» на основе публичного proof-of-concept и установила, что как минимум два устройства Ivanti Sentry уже получили бэкдоры. В тот же день CISA внесла CVE-2026-10520 в каталог Known Exploited Vulnerabilities (KEV). Федеральным гражданским ведомствам (FCEB) дали трое суток: крайний срок для установки патча — 14 июня 2026 года согласно Binding Operational Directive 22-01.
Уязвимые версии — все релизы до R10.5.2, R10.6.2 и R10.7.1. Патч закрывает доступ к уязвимой конечной точке и добавляет слой аутентификации с поддержкой mTLS через EPMM или ограниченный HTTPS через Neurons for MDM. Дополнительное условие успешной атаки: порт управления 8443 должен быть доступен извне, а само устройство находиться в неуправляемом состоянии.
Вторая уязвимость Ivanti: обход аутентификации с оценкой 9.9
В тех же версиях Ivanti Sentry присутствует CVE-2026-10523 (CVSS 9.9). Она даёт удалённому неаутентифицированному атакующему возможность создавать произвольные административные учётные записи, что фактически означает полный контроль над устройством. Исправление выходит в тех же релизах: R10.5.2, R10.6.2, R10.7.1. На момент публикации активной эксплуатации этой уязвимости зафиксировано не было, но в связке с CVE-2026-10520 картина выглядит по-настоящему неприятно.
Fortinet FortiSandbox: инъекция команд через веб-интерфейс
CVE-2026-25089 с оценкой CVSS 9.1 затрагивает FortiSandbox, FortiSandbox Cloud и FortiSandbox PaaS. Тип уязвимости — CWE-78, то есть недостаточная фильтрация специальных символов в командах операционной системы. Неаутентифицированный атакующий может выполнять произвольные команды через специально сформированные HTTP-запросы к веб-интерфейсу.
Затронутые версии:
- []FortiSandbox 5.0.0–5.0.5 и 4.4.0–4.4.8
[]FortiSandbox Cloud 5.0.4–5.0.5
[]FortiSandbox PaaS 5.0.4–5.0.5
SAP: четыре критические уязвимости без следов эксплуатации
SAP закрыла сразу четыре проблемы с оценками от 9.0 до 9.9. Технические детали по двум из них предоставила компания Onapsis, специализирующаяся на безопасности SAP-систем.
CVE-2026-44748 (CVSS 9.9) касается NetWeaver AS ABAP и ABAP Platform. Суть в атаке типа XML Signature Wrapping при SAML-аутентификации: аутентифицированный пользователь с обычными правами перехватывает валидно подписанное сообщение, модифицирует XML с подменой идентификатора, и система принимает его из-за некорректной проверки подписи. Результат — несанкционированный доступ к данным других пользователей.
CVE-2026-27671 (CVSS 9.8) затрагивает тот же Application Server ABAP. Неаутентифицированный атакующий отправляет специально сформированный RFC-запрос, который эксплуатирует логику валидации в ядре и приводит к повреждению памяти с потенциалом для удалённого выполнения кода или отказа в обслуживании.
CVE-2026-22732 (CVSS 9.1) в SAP Commerce Cloud и SAP Data Hub связана с уязвимостью в Spring Security. CVE-2026-40128 (CVSS 9.0) в NetWeaver Application Server Java — классический directory traversal, позволяющий читать файлы за пределами разрешённой директории.
По всем четырём SAP-уязвимостям на момент публикации не было зафиксировано ни одного случая эксплуатации в реальных атаках.
Как определить, скомпрометирован ли Ivanti Sentry
Для CVE-2026-10520 индикаторы компрометации достаточно конкретные. В логах стоит искать неаутентифицированные обращения к эндпоинту POST /mics/api/v2/sentry/mics-config/handleMessage. Подозрительно также появление новых административных учётных записей, которые никто не создавал вручную — это признак CVE-2026-10523. Сетевые подключения к порту 8443 из недоверенных источников тоже требуют внимания. Shadowserver прямо указывает: часть уже атакованных устройств получила постоянные бэкдоры, так что одного только патча может оказаться недостаточно.
Приоритеты при устранении
Первоочерёдность действий выглядит так:
- []CVE-2026-10520 (Ivanti Sentry) — патч немедленно до R10.5.2 / R10.6.2 / R10.7.1, закрыть порт 8443 от интернета, включить mTLS, проверить наличие бэкдоров.
[]CVE-2026-10523 (Ivanti Sentry) — то же обновление, что и выше.
[]CVE-2026-25089 (FortiSandbox) — обновление до 5.0.6+ или 4.4.9+.
[]Четыре уязвимости SAP — применить соответствующие SAP Security Notes для NetWeaver AS ABAP, ABAP Platform, Commerce Cloud, Data Hub и NetWeaver AS Java.
