CVE-2026-10523: Kritisk fejl i Ivanti Sentry
Kritisk sårbarhed i Ivanti Sentry lader angribere oprette admin-konti uden login og overtage systemet fuldstændigt.
Hvad er det?
CVE-2026-10523 er en kritisk godkendelses-omgåelses-fejl (dvs. en fejl der lader nogen springe login-kontrollen over) i Ivanti Standalone Sentry. Ivanti Sentry er et sikkerhedsprodukt, som mange virksomheder bruger til at styre og beskytte mobile enheder og apps i deres netværk.
Fejlen er kategoriseret som CWE-288, hvilket betyder, at produktet har en alternativ adgangsvej der slet ikke kræver brugernavn eller adgangskode. En angriber kan udnytte dette til at oprette nye administratorkonti og dermed få fuld kontrol over Sentry-systemet — helt uden at kende noget login i forvejen.
Hvem rammer det?
Sårbarheden rammer alle virksomheder der kører Ivanti Standalone Sentry i en af disse versioner:
- Versioner ældre end 10.5.2
- Versioner fra 10.6.0 op til (men ikke inkl.) 10.6.2
- Version 10.7.0
Bruger din virksomhed Ivanti Sentry til at håndtere medarbejdernes mobiler, tablets eller mobile apps, bør du straks tjekke hvilken version I kører. Produktet er særligt udbredt i virksomheder med mange mobile enheder tilknyttet virksomhedens netværk.
Hvad kan ske?
Hvis en angriber udnytter fejlen, kan vedkommende:
- Oprette egne administratorkonti på dit Sentry-system uden at kende noget eksisterende login
- Overtage fuld administrativ kontrol over Ivanti Sentry og alt hvad der er forbundet til det
- Tilgå, ændre eller slette data og konfigurationer i systemet (høj fortrolighed, integritet og tilgængelighed er alle truet)
- Potentielt sprede sig videre i dit netværk fra Sentry som udgangspunkt, da angrebet har effekt ud over selve produktet (scope=changed)
Angrebet kræver kun en lav mængde rettigheder på forhånd, ingen brugerinteraktion og kan gennemføres over internettet — det gør det særligt farligt.
Hvor alvorligt er det?
Sårbarheden har fået en CVSS-score på 9,9 ud af 10 — kritisk. Det er næsten den højest mulige score.
Scoringen afspejler at angrebet:
- Kan udføres over netværket (ingen fysisk adgang kræves)
- Er teknisk let at gennemføre (lav kompleksitet)
- Kræver minimale rettigheder på forhånd
- Ikke kræver at en bruger klikker på noget
- Giver angriberen fuld adgang til fortrolighed, integritet og tilgængelighed
- Kan have effekt på systemer ud over det angrebne produkt (S:C — scope changed)
Du bør behandle dette som en akut situation.
Hvad gør jeg nu?
Tjek straks din version af Ivanti Standalone Sentry og opdater til en sikker version. Følg disse trin:
- Find din nuværende version — log ind i Ivanti Sentry-administrationsgrænsefladen og notér versionsnummeret.
- Opdater til en sikker version — Ivanti har udgivet rettede versioner: R10.5.2, R10.6.2 og R10.7.1. Opdater til den relevante version for din installationsgren.
- Tjek for ukendte administratorkonti — gennemgå listen over administratorkonti i systemet og slet eventuelle konti du ikke genkender.
- Begræns adgangen til Sentry-administrationsporten — sørg for at administrationsgrænsefladen (typisk port 8443) kun er tilgængelig fra betroede IP-adresser eller via VPN, ikke fra det åbne internet.
- Gennemgå logfiler — kig efter usædvanlig aktivitet i Sentry-logfilerne, særligt nye kontooprettelser eller ukendte login-forsøg.
- Kontakt din IT-leverandør — hvis du er usikker på processen, så kontakt den der administrerer din Ivanti-løsning.
Opdater inden for 24-48 timer
Vi anbefaler at du behandler denne sårbarhed som akut og opdaterer Ivanti Sentry inden for de næste 24-48 timer. En CVSS-score på 9,9 kombineret med det faktum, at angrebet ikke kræver noget forudgående login, gør dette til en af de mest alvorlige typer sårbarheder. Begræns desuden adgangen til Sentry-administrationsgrænsefladen til kendte IP-adresser, mens opdateringen forberedes. Er du i tvivl om din eksponering, er du velkommen til at kontakte os for en hurtig gennemgang.
Tidslinje
Konkrete eksempler
Angriber opretter skjult admin-konto udefra
En angriber scanner internettet og finder en Ivanti Sentry-administrationsport der er tilgængelig på port 8443. Ved at sende en særligt udformet HTTP-forespørgsel udnytter angriberen bypass-fejlen til at oprette en ny administratorkonto med et selvvalgt brugernavn og kodeord — helt uden at kende eksisterende login-oplysninger. Angriberen har nu fuld administrativ adgang til Sentry og alt hvad systemet styrer.
Intern angriber eskalerer rettigheder via Sentry
En medarbejder eller en angriber der allerede har minimale rettigheder i virksomhedens netværk (f.eks. via et kompromitteret brugernavn), bruger sårbarheden til at oprette en administratorkonto i Sentry. Herfra kan vedkommende ændre sikkerhedspolitikker for alle mobile enheder i virksomheden, fjerne sikkerhedskrav eller skaffe sig adgang til data der synkroniseres via Sentry-gatewayen.
Sentry bruges som springbræt ind i virksomhedens netværk
Efter at have overtaget Sentry-admin-kontoen bruger angriberen systemets betroede position i netværket til at bevæge sig videre til andre systemer — f.eks. e-mailservere, filsystemer eller andre interne ressourcer som Sentry har forbindelser til. Det der startede som et angreb på mobil-infrastrukturen, udvikler sig til et bredere databrud i hele virksomheden.
Ofte stillede spørgsmål
Kan angribere udnytte dette uden at kende vores adgangskode?
Ja, det er præcis det der gør denne sårbarhed så alvorlig. Fejlen omgår login-kontrollen fuldstændigt, så angriberen behøver hverken brugernavn eller adgangskode for at oprette en ny administratorkonto og overtage systemet.
Skal Ivanti Sentry være eksponeret mod internettet for at vi er i fare?
Angrebet kan gennemføres over netværket, men risikoen er størst hvis Sentry-administrationsgrænsefladen (typisk port 8443) er tilgængelig fra internettet. Selv internt eksponerede systemer kan dog udgøre en risiko, hvis en angriber allerede har fodfæste i dit netværk. Opdatering anbefales uanset eksponeringsniveau.
Hvad er Ivanti Standalone Sentry, og ved jeg om vi bruger det?
Ivanti Standalone Sentry er en gateway (en slags kontrolled) der bruges til at sikre og styre adgangen for mobile enheder og apps i virksomhedens netværk — typisk som en del af en MDM-løsning (Mobile Device Management). Spørg din IT-ansvarlige eller IT-leverandør om I har produktet, og hvilken version der kører.
Vi har ikke opdateret endnu — hvad skal vi gøre med det samme?
Lav to akutte tiltag mens opdateringen forberedes: 1) Bloker ekstern adgang til Sentry-administrationsgrænsefladen (port 8443) via firewall, så kun betroede IP-adresser kan nå den. 2) Gennemgå administratorkonti i systemet og slet dem du ikke genkender. Derefter prioritér opdateringen til R10.5.2, R10.6.2 eller R10.7.1 afhængigt af din version.
Kan vi se om vi allerede er blevet angrebet?
Ja, tjek Sentry-systemets logfiler for nyoprettede administratorkonti, ukendte login-hændelser eller usædvanlig aktivitet — særligt i perioden efter sårbarhedens offentliggørelse den 9. juni 2026. Hvis du finder mistænkelig aktivitet, bør du kontakte en cybersikkerhedsekspert med det samme.
Påvirker dette vores medarbejderes mobile enheder direkte?
Selve angrebet retter sig mod Sentry-serverens administratorlag, ikke direkte mod de mobile enheder. Men hvis en angriber overtager Sentry, kan vedkommende potentielt ændre politikker, tilgå data der flyder igennem systemet eller misbruge adgangen til at nå andre dele af jeres netværk — hvilket indirekte kan påvirke alle tilknyttede enheder.
Ramte produkter
Ivanti — Standalone Sentry
< 10.5.2
Ivanti — Standalone Sentry
≥ 10.6.0, < 10.6.2
Ivanti — Standalone Sentry
10.7.0
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
An Authentication Bypass vulnerability (CWE-288) in Ivanti Sentry before the R10.5.2, R10.6.2 and R10.7.1 versions allows a remote unauthenticated attacker to create arbitrary administrative accounts and obtain full administrative access
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
