최고 심각도 Ivanti Sentry 취약점, 공격에 악용됨
공격자들은 이제 최근에 패치된 Ivanti Sentry의 최고 심각도 결함을 노리고 있으며, 이를 통해 인터넷에 노출된 보안 모바일 게이트웨이에서 루트 권한으로 코드를 실행할 수 있습니다.
이전에는 MobileIron Sentry로 알려졌던 Ivanti Sentry 보안 게이트웨이 어플라이언스는 백엔드 기업 시스템과 원격 모바일 디바이스 간의 트래픽을 보호합니다.
CVE-2026-10520으로 추적되는 이 최고 심각도 취약점은 OS 명령어 삽입 약점에서 비롯되었으며, Ivanti는 화요일에 Sentry 버전 R10.5.2, R10.6.2, R10.7.1을 출시하면서 이를 패치했습니다. (패치 발표 기사)
회사는 당시 야생에서의 악용 증거가 없다고 밝혔지만, 비영리 보안 단체 Shadowserver는 다음 날 이미 온라인에 노출된 대부분의 Sentry 게이트웨이에 백도어가 설치되었다고 보고했습니다.
인터넷 보안 감시 기관은 또한 스캔 결과 노출된 Sentry 인스턴스가 매우 제한된 수에 불과하지만, 검색 엔진이 차단 목록에 올라 있어 더 많은 인스턴스가 존재할 가능성이 있다고 덧붙였습니다.
“우리는 오늘 공개된 PoC를 기반으로 Ivanti Sentry CVE-2026-10520 악용 시도가 대량으로 발생하고 있음을 관찰하고 있습니다. 자체 스캔에서 19개의 취약 인스턴스를 발견했으며, 그 중 최소 2개는 백도어가 설치된 상태였습니다(힌트를 제공해준 Saudi NCA에 감사!). 그러나 나머지 인스턴스도 대부분 손상되었을 가능성이 높습니다.” — Shadowserver 경고
“우리의 탐지는 여러 Ivanti Sentry 인스턴스가 스캔에서 접근 불가(차단 목록?) 때문에 다소 낮게 나타나지만, 아직 패치하지 않았다면 대부분 이미 침해당했을 가능성이 높습니다.”
Ivanti Sentry 관리 포털이 온라인에 노출됨 (Shadowserver)
Ivanti는 화요일에 발표한 보안 권고문을 아직 업데이트하지 않았으며, 해당 문서에는 여전히 “공개 시점에 이 취약점으로 인해 고객이 악용된 사례를 인지하고 있지 않다”는 문구가 남아 있습니다.
BleepingComputer가 오늘 추가적인 공격 세부 정보를 요청했지만, Ivanti 담당자는 즉시 코멘트를 제공하지 못했습니다.
해커들은 Ivanti 보안 결함을 자주 노리는 이유는 이 결함이 기업 네트워크에 대한 진입점을 제공해 민감한 고객 및 기업 데이터를 탈취할 수 있기 때문입니다.
예를 들어, 여러 Ivanti 제로데이가 최근 몇 년간 다양한 목표(예: 전 세계 정부 기관 )을 침해하는 데 이용되었습니다. 여기에는 Ivanti가 1월에 해결한 두 개의 중요한 Endpoint Manager Mobile (EPMM) 취약점도 포함되며, 이들 취약점은 “매우 제한된 수의 고객”을 대상으로 제로데이 공격에 사용되었습니다. ([관련 기사](https://www