Thought Leadership
Die US-Behörde CISA zwingt Bundesbehörden zur schnellen Behebung einer kritischen Ivanti-Sicherheitslücke, da Angreifer bereits Systeme kompromittieren.
Die US-Cybersicherheitsbehörde CISA hat zivile Bundesbehörden dazu verpflichtet, eine kritische Sicherheitslücke in Ivanti Sentry innerhalb von drei Tagen zu schließen. Die dringende Anordnung basiert auf der neu erlassenen Richtlinie Binding Operational Directive 26-04. Die Schwachstelle mit der Kennung CVE-2026-10520 betrifft das weit verbreitete Sicherheits-Gateway Ivanti Sentry, das ehemals unter dem Produktnamen MobileIron Sentry vertrieben wurde.
Es handelt sich um eine Schwachstelle der Kategorie OS-Command-Injection, die es entfernten Angreifern erlaubt, unberechtigte Betriebssystembefehle einzuschleusen und auszuführen. CISA stuft das Risiko als maximal schwerwiegend ein und fügte die Lücke umgehend in den offiziellen Katalog aktiv ausgenutzter Schwachstellen ein.
Warnungen vor unmittelbarer Kompromittierung betroffener Ivanti-Systeme
Der Hersteller Ivanti hatte zunächst am Mittwoch ein Sicherheits-Patch für den Fehler veröffentlicht und in einer ersten Stellungnahme erklärt, dass keine Beweise für eine Ausnutzung in der Praxis vorlägen. Kurz darauf berichtete der IT-Sicherheitsdienst Shadowserver jedoch, dass Angreifer bereits Hintertüren auf zahlreichen im Internet erreichbaren Sentry-Gateways installiert hätten.
Die Experten beobachteten eine hohe Zahl von Angriffsversuchen, nachdem ein funktionsfähiger Konzept-Exploit öffentlich im Internet geteilt wurde. Die Organisation gab in einer dringenden Warnmeldung bekannt: „Wenn Sie jetzt nicht gepatcht haben, sind Sie höchstwahrscheinlich kompromittiert.“ Die Anzahl der im Internet sichtbaren Administrationsportale sei zudem vermutlich höher als in den aktuellen Scans erfasst, da viele betroffene Unternehmen die IP-Adressen von Sicherheits-Scannern blockieren.
Kriterien der neuen Sicherheitsrichtlinie für US-Behörden
Die Sicherheitslücke CVE-2026-10520 ist der erste offizielle Fall, auf den die verschärfte Richtlinie BOD 26-04 angewendet wird. Diese Verordnung ersetzt ältere Sicherheitsvorgaben der CISA und verpflichtet Bundesbehörden zu einer extrem kurzen Reaktionszeit von 72 Stunden. Das Verfahren greift, wenn ein System direkt über das Internet erreichbar ist, die Schwachstelle im KEV-Katalog gelistet ist, der Angriff automatisiert in großem Maßstab erfolgen kann und eine erfolgreiche Ausnutzung die vollständige Kontrolle über das Zielsystem ermöglicht. In den vergangenen Jahren hat die CISA insgesamt 35 Schwachstellen in verschiedenen Ivanti-Produkten registriert, die bei Cyberangriffen missbraucht wurden, darunter zwölf Fälle durch Ransomware-Gruppierungen.
(red)
