Ivanti kembali merilis peringatan darurat setelah mengonfirmasi dua kerentanan kritis di Ivanti Sentry, komponen gateway yang menjembatani perangkat seluler dengan jaringan perusahaan. Celah paling serius, CVE-2026-10520, meraih nilai sempurna 10.0 dalam skala CVSS — level yang sangat jarang diberikan. Artinya, eksploitasi bisa dilakukan tanpa perlu autentikasi atau interaksi pengguna.
Peneliti keamanan dari watchTowr mengungkap akar masalah CVE-2026-10520 berasal dari API yang terekspos di lingkungan Apache Tomcat. Penyerang bisa mengirimkan pesan khusus yang kemudian diartikan sebagai perintah konfigurasi MICS dan langsung dieksekusi sistem dengan hak akses root.
Ivanti merespons dengan mengganti string yang bisa dimanipulasi menjadi perintah tetap yang telah dikodekan secara keras. Mereka juga memperbarui aturan konfigurasi Apache untuk memblokir akses tanpa autentikasi ke endpoint terdampak. Meski begitu, vendor mengaku belum ada laporan eksploitasi aktif di lapangan — setidaknya untuk saat ini.
Kerentanan kedua, CVE-2026-10523, tidak kalah mengkhawatirkan. Dengan skor 9.9, celah jenis authentication bypass ini memungkinkan penyerang dari jarak jauh membuat akun administrator baru tanpa kredensial sah. Begitu sistem ditembus melalui celah ini, kendali penuh atas perangkat langsung jatuh ke tangan peretas.
Kedua celah ini hanya bisa ditutup dengan memperbarui Ivanti Sentry ke versi 10.5.2, 10.6.2, atau 10.7.1. Pelanggan diimbau segera melakukan upgrade tanpa menunda.
Yang menjadi kekhawatiran komunitas keamanan adalah sifat publik dari penemuan ini. Meski Ivanti sengaja tidak merinci detail teknis dalam advisori resminya, peneliti lain sudah mulai membedah patch yang dirilis dan mempublikasikan petunjuk teknis tentang cara mengeksploitasi celah tersebut. Dalam praktiknya, ini seperti menyalakan papan skor bagi peretas: hitungan mundur menuju eksploitasi massal dimulai.
Ini bukan pertama kalinya Ivanti menjadi sorotan. Pada Januari lalu, perusahaan yang berbasis di Utah itu menambal dua celah kritis di produk Endpoint Manager Mobile (EPMM) yang masing-masing bernilai 9.8. Kedua celah itu sudah dieksploitasi sebagai zero-day sebelum patch dirilis. Bahkan Otoritas Perlindungan Data Belanda (DPA) melaporkan diri ke parlemen setelah sistem mereka dibobol melalui eksploitasi celah tersebut.
Dengan pola serangan yang semakin agresif terhadap celah-celah produk Ivanti, para administrator sistem di Indonesia — terutama yang mengelola perangkat perusahaan berskala besar — disarankan memprioritaskan pembaruan ini. Dalam ekosistem keamanan siber, celah dengan skor 10.0 bukan sekadar angka. Itu adalah undangan terbuka bagi siapa pun yang ingin mengambil alih kendali server Anda.