Es ist der Albtraum für jede IT-Abteilung: Das Sicherheits-Tor, das deine Firma schützen soll, steht selbst sperrangelweit offen. Genau das passiert gerade bei Ivanti Sentry. Zwei frisch gepatchte Lücken — eine davon mit der Höchstwertung CVSS 10.0 — werden seit dem 11. Juni massenhaft angegriffen. Und die ersten Server haben bereits eine Hintertür eingebaut bekommen.
GEFAHR! Das Tor zum Firmennetz nimmt Befehle von JEDEM an
Ivanti Sentry ist ein Gateway, das zwischen Smartphones draußen im Internet und den internen Systemen einer Firma sitzt — zum Beispiel dem Mail-Server. Genau deshalb ist es fast immer direkt aus dem Internet erreichbar.
Die Lücke CVE-2026-10520 ist eine OS Command Injection: Eine interne Schnittstelle, die eigentlich nur Konfigurations-Befehle des Systems verarbeiten soll, nimmt Befehle von jedem an, der sie über das Internet erreicht. Ohne Login. Ohne Passwort. Das Ergebnis: Angreifer führen Befehle als ROOT aus — die volle Kontrolle über die Appliance.
Dazu kommt CVE-2026-10523 (CVSS 9.9): ein Authentication Bypass, mit dem Angreifer ohne gültige Zugangsdaten eigene Admin-Konten anlegen können. Beide Lücken zusammen ergeben eine komplette Angriffskette: erst per 10523 ein Admin-Konto erstellen, dann per 10520 nach Belieben Root-Befehle absetzen.
SCHOCK: Erste Server schon mit Hintertür — nur 24 Stunden nach dem Exploit
Ivanti hatte die Patches Anfang der Woche veröffentlicht — zu dem Zeitpunkt waren noch keine Angriffe bekannt. Doch dann veröffentlichten die Sicherheitsforscher von watchTowr ihre technische Analyse samt Proof-of-Concept. Keine 24 Stunden später meldete die Shadowserver Foundation: Es läuft eine große Welle von Exploit-Versuchen auf Basis genau dieses PoC.
Noch schlimmer: Von 19 verwundbaren Sentry-Instanzen, die Shadowserver beobachtet, wurden mindestens zwei bereits mit einer Backdoor versehen. Wer jetzt noch ungepatcht im Netz steht, spielt auf Zeit — und verliert.
Warum das so brisant ist: Wer Sentry kapert, kann Zugangsdaten und Session-Tokens abgreifen und sich als legitimer Mitarbeiter ausgeben — der direkte Weg zu Mail-Servern und internen Anwendungen.
So rettest du dein Gateway in 15 MINUTEN
Betroffen sind die Sentry-Versionen 10.5.1, 10.6.1, 10.7.0 und alle älteren. Die Fixes stecken in den Versionen 10.5.2, 10.6.2 und 10.7.1. Dein Fahrplan:
1. Version prüfen: Läuft dein Sentry auf einer der betroffenen Versionen? Dann gilt: Patchen hat Vorrang vor allem anderen.
2. Update einspielen: Auf 10.5.2, 10.6.2 oder 10.7.1 aktualisieren — je nachdem, welchen Versionszweig du nutzt.
3. Auf Kompromittierung prüfen: watchTowr hat auf GitHub ein kostenloses Prüf-Skript veröffentlicht, mit dem du testen kannst, ob deine Umgebung verwundbar ist. Prüfe außerdem die Admin-Konten auf der Appliance — taucht dort ein Konto auf, das niemand angelegt hat, ist der Ernstfall da.
4. Exposition reduzieren: Falls möglich, den Zugriff auf das Sentry-Interface per Firewall einschränken, bis der Patch sitzt.
EXTRA-TIPP: Auch EPMM hat frische Patches bekommen
Im selben Schwung hat Ivanti zwei hochriskante Lücken in Endpoint Manager Mobile (EPMM) geschlossen (CVE-2026-6973, CVE-2026-10727). EPMM-Lücken werden regelmäßig angegriffen — erst im Mai stand ein EPMM-Zero-Day auf der KEV-Liste der CISA. Wenn du Ivanti im Haus hast, gehört der Juni-Patch-Stapel komplett eingespielt, nicht nur Sentry.
FAZIT: Patchen ist Pflicht — Prüfen auch
Eine 10.0-Lücke in einem Internet-exponierten Security-Gateway, öffentlicher Exploit-Code und bestätigte Backdoors — mehr Alarmstufe geht kaum. Das Update allein reicht dabei nicht: Wer zwischen PoC-Veröffentlichung und Patch verwundbar war, muss davon ausgehen, dass jemand durchs Tor spaziert sein könnte. Also: patchen, prüfen, Logs sichern. Genau in dieser Reihenfolge — und zwar SOFORT.
Häufige Fragen
Welche Versionen von Ivanti Sentry sind betroffen?
Wie merke ich, ob mein System verwundbar oder schon kompromittiert ist?
Gab es schon aktive Angriffe?
Was ist Ivanti Sentry überhaupt?
Quellen: Ivanti Security Advisory · Help Net Security · BleepingComputer · TechTimes