文章总结： 威胁组织正利用IvantiSentry网关中最高危的CVE-2026-10520操作系统命令注入漏洞，该漏洞允许未经身份验证的远程攻击者以root权限执行代码。尽管官方最初称未发现活跃攻击，但影子服务器基金会监测到补丁发布后短时间内即有19台暴露设备被植入后门，Ivanti设备因处于企业内网关键节点而成为攻击者重点目标。建议相关企业立即检查并升级设备补丁。 综合评分： 88 文章分类： 漏洞预警,漏洞分析,应急响应,网络安全,云安全

CVE-2026-10520 已遭野外利用：Ivanti Sentry 网关在补丁发布后不久即遭攻陷

鹏鹏同学 鹏鹏同学

黑猫安全

2026年6月12日 08:57 湖北

在小说阅读器读本章

去阅读

威胁组织已开始利用 Ivanti Sentry 中一处最高危操作系统命令注入漏洞（漏洞编号 CVE-2026-10520），该漏洞可实现具备 root 最高权限的远程代码执行。

官方公告原文记载：“Ivanti Sentry R10.5.2、R10.6.2、R10.7.1 之前版本存在操作系统命令注入漏洞，未经身份验证的远程用户可借此获取 root 权限，执行远程代码。”

Ivanti Sentry 是一款安全网关硬件设备，部署在企业内部系统与移动终端之间，用于企业管控并保护移动端对公司业务资源的访问通道。

该漏洞影响用于防护企业后台与移动设备通信的安全移动网关。尽管 Ivanti 最初称未发现活跃攻击迹象，但影子服务器基金会（Shadowserver）的研究人员监测到，大量公网暴露的 Sentry 网关在安全补丁发布后短时间内就被植入后门。

影子服务器基金会在社交平台 X 发文表示：“我们今日监测到大量利用公开漏洞验证程序（PoC）针对 CVE-2026-10520 攻击 Ivanti Sentry 的行为。本次扫描共发现 19 台存在漏洞的设备，其中至少 2 台已被植入后门（感谢沙特国家网络安全局 @NCA_KSA 提供线索），其余设备大概率也已遭入侵。受限于部分 Ivanti Sentry 设备扫描无法连通（或已被拉黑屏蔽），本次检测覆盖面有限。若尚未完成补丁升级，你的设备极有可能已失陷。相关漏洞 IP 数据已同步至标记为 cve-2026-10520 的漏洞 HTTP 扫描报告中。”

—— 影子服务器基金会（@Shadowserver），2026 年 6 月 10 日

Ivanti 尚未更新官方安全公告，确认该漏洞已出现野外真实攻击利用。但攻击者长期将 Ivanti 系列漏洞作为重点攻击目标，借助此类漏洞可直连企业内网，窃取核心业务数据。

攻击者专门针对 Ivanti Sentry 设备发起入侵，核心原因是该设备在企业架构中处于权限极高、风险敏感的关键节点。Ivanti Sentry 承担移动终端与企业内网系统的网关中转工作，一旦设备被攻陷，攻击者将突破网络信任边界，等同于直接进入企业内网可信区域。

自 2026 年 1 月起，美国网络安全与基础设施安全局（CISA）已将多款遭野外持续利用的 Ivanti 漏洞录入已知被利用漏洞清单（KEV），其中包括影响终端管理移动版的 CVE-2026-1340、终端管理平台 CVE-2026-1603。两类漏洞均可让攻击者绕过身份认证、执行远程代码，非法访问企业敏感业务系统。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑猫安全 鹏鹏同学 鹏鹏同学《CVE-2026-10520 已遭野外利用：Ivanti Sentry 网关在补丁发布后不久即遭攻陷》