Qué es Ivanti Sentry y por qué esto importa
Ivanti Sentry (antes MobileIron Sentry) es una pasarela de acceso móvil seguro que actúa como proxy entre dispositivos móviles corporativos y sistemas internos: correo Exchange, SharePoint, aplicaciones internas. En entornos con MDM/EMM, suele estar expuesto directamente a Internet. Ahí está el problema.
La vulnerabilidad: RCE con root, sin autenticación
Ivanti ha parcheado dos vulnerabilidades críticas en Sentry, una de ellas con severidad máxima (CVSS 10.0). La más grave permite a un atacante remoto, sin necesidad de autenticarse, ejecutar código arbitrario con privilegios de root. No hay barra más baja: acceso total al sistema, desde Internet, sin credenciales.
Y el escenario empeoró rápido: antes de que muchas organizaciones tuvieran tiempo de aplicar el parche, el fallo ya estaba siendo explotado activamente. Pasar de «vulnerabilidad divulgada» a «explotación en producción» en horas es el nuevo estándar con appliances perimetrales de alto perfil.
Por qué los appliances como Sentry son objetivos prioritarios
Los dispositivos perimetrales —pasarelas VPN, proxies de movilidad, controladores de acceso— concentran características que los hacen especialmente atractivos: están expuestos a Internet por diseño, tienen ciclos de parcheo más lentos que los servidores convencionales, y un compromiso exitoso da acceso a tráfico interno crítico y, con frecuencia, a credenciales corporativas. Ivanti en particular ha acumulado varios CVEs críticos en los últimos años en Pulse Secure, ICS, ITSM y ahora Sentry. Es un patrón que las organizaciones que lo despliegan deben tener presente.
¿Te afecta? Qué hacer ahora
Si tienes Ivanti Sentry expuesto a Internet:
- Parchea ahora. Ivanti ha publicado la actualización. Esta es una de las pocas situaciones donde «actualizar urgentemente» no tiene matices: CVSS 10, RCE sin autenticación, explotación activa confirmada.
- Revisa los logs. Si el sistema estuvo expuesto sin parchear durante el período post-divulgación, asume compromiso potencial hasta verificar lo contrario. Busca accesos anómalos, procesos inesperados o cambios de configuración recientes.
- Cierra el acceso administrativo desde Internet. Si la interfaz de gestión es accesible desde la WAN, ciérrala ya. La administración solo debería llegar desde redes de gestión controladas.
- Evalúa la superficie de exposición. Si no necesitas Sentry directamente expuesto, considera ponerlo detrás de un WAF o exigir acceso previo por VPN.
El patrón Ivanti y la fatiga de parcheo en appliances
Este no es el primer rodeo. Los equipos que gestionan infraestructura Ivanti llevan años viendo CVEs críticos en sus productos. La combinación de «appliance perimetral con acceso privilegiado + exposición Internet + ciclo de parcheo lento» es una ecuación peligrosa. Si Ivanti es un componente crítico en tu arquitectura, puede ser el momento de revisar si el modelo de despliegue minimiza adecuadamente el riesgo: segmentación, reducción de superficie expuesta y monitorización activa de estos sistemas no es opcional, es higiene básica.
Fuente: BleepingComputer.
Deja una respuesta