Ivanti: 최고 심각도 Sentry 취약점, 루트 권한 코드 실행 가능
보안 소프트웨어 기업 Ivanti는 Sentry Secure Mobile Gateway 솔루션의 두 가지 중대한 취약점을 해결하기 위해 패치를 배포했습니다. 이 중 최대 심각도 취약점은 원격 공격자가 루트 권한으로 코드를 실행할 수 있게 합니다.
이전 명칭은 MobileIron Sentry였으며, Ivanti Sentry는 백엔드 기업 시스템과 원격 모바일 디바이스 간 트래픽을 보호하는 보안 게이트웨이 어플라이언스입니다.
CVE-2026-10520으로 추적되는 최대 심각도 취약점은 OS 명령어 주입(OS command injection) 약점에서 비롯되었습니다. 화요일에 패치된 두 번째 Sentry 보안 결함(CVE-2026-10523)은 원격 미인증 공격자가 악성 관리 계정을 생성하고 전체 관리 권한을 획득할 수 있는 치명적인 인증 우회 취약점입니다.
Ivanti는 화요일에 Sentry 버전 R10.5.2, R10.6.2, R10.7.1을 출시하며 두 보안 문제를 모두 패치했습니다.
다행히도, 회사는 현재까지 두 취약점이 실제 공격에 이용된 증거가 없으며, 관리자는 잠재적인 공격으로부터 보호하기 위해 시스템을 업데이트할 것을 권고했습니다.
“공개 시점에 이 취약점으로 인해 영향을 받은 고객이 있다는 정보를 파악하고 있지 않습니다.”라고 Ivanti는 밝혔습니다. “현재 이 취약점에 대한 알려진 공개 악용 사례는 없으며, 이를 기반으로 한 침해 지표 목록을 제공할 수 없습니다.”
최근 몇 년간 Ivanti 취약점은 사이버 범죄자들이 기업 네트워크에 침투하고 민감한 기업·고객 데이터를 탈취하는 쉬운 경로를 제공한다는 이유로 공격 대상이 되었습니다.
예를 들어, 가장 최근에는 사이버보안 및 인프라 보안청(CISA)이 5월에 미국 연방 기관들에게 Ivanti 장비를 패치하도록 명령했습니다. 이는 Ivanti가 고객에게 Endpoint Manager Mobile (EPMM) 의 고위험 원격 코드 실행 취약점이 제로데이 공격에 이용되고 있으니 즉시 패치하라고 경고한 뒤 내려진 조치였습니다.
다른 여러 Ivanti 제로데이 취약점도 최근 몇 년 동안 다양한 목표를 침해하는 데 악용되었습니다. 여기에는 전 세계 정부 기관을 포함한 다양한 대상이 있었으며, **‘매우 제한된 수의 고객’**을 겨냥한 공격에서 제로데이로 이용된 두 개의 다른 치명적인 EPMM 취약점도 포함됩니다.
CISA는 지난 몇 년간 SolarWinds 제품군 전반에 걸쳐 34개의 취약점을 공격에 적극적으로 이용된 것으로 분류했으며, 그 중 12개는 랜섬웨어 공격에도 사용되었습니다.
Ivanti의 IT 자산 관리 솔루션은 전 세계 40,000여 고객이 사용하고 있으며, 7,000여 파트너와 3,000여 직원이 이를 지원하고 있습니다.
보안 팀은 성공적인 공격의 54%만을 기록하고, 그 중 14%에만 경보를 울립니다. 나머지는 환경을 무시하고 진행됩니다.
Picus 백서는 침해 및 공격 시뮬레이션이 SIEM 및 EDR 규칙을 어떻게 테스트하여 위협이 탐지되지 않고 넘어가는 것을 방지하는지 보여줍니다.