Ivanti, Fortinet i SAP łatają krytyczne luki bezpieczeństwa w systemach korporacyjnych

Wprowadzenie do problemu / definicja

Czerwcowa fala aktualizacji bezpieczeństwa objęła trzy szeroko wykorzystywane platformy korporacyjne: Ivanti Sentry, FortiSandbox oraz wybrane komponenty SAP NetWeaver, ABAP Platform, SAP Commerce Cloud i SAP Data Hub. Producenci opublikowali poprawki dla podatności o wysokiej i krytycznej ważności, które w sprzyjających warunkach mogą prowadzić do zdalnego wykonania kodu, obejścia uwierzytelniania, ujawnienia informacji lub nieautoryzowanego dostępu do systemów biznesowych.

Skala problemu jest istotna, ponieważ podatne produkty często działają na styku sieci, obsługują procesy uwierzytelniania albo pełnią kluczowe funkcje w infrastrukturze przedsiębiorstwa. To oznacza, że skuteczne wykorzystanie nawet jednej luki może mieć wpływ wykraczający daleko poza pojedynczy serwer.

W skrócie

• Fortinet załatał podatność command injection CVE-2026-25089 w FortiSandbox, FortiSandbox Cloud oraz FortiSandbox PaaS, ocenioną na CVSS 9.1.
• Ivanti usunęło dwie krytyczne luki w Ivanti Sentry: CVE-2026-10520 oraz CVE-2026-10523, obejmujące odpowiednio zdalne wykonanie kodu i obejście uwierzytelniania.
• SAP opublikował 15 not bezpieczeństwa, w tym cztery krytyczne poprawki dla błędów wpływających na SAML, ABAP, Spring Security oraz SAP NetWeaver AS Java.
• Największe ryzyko dotyczy systemów dostępnych z internetu oraz środowisk zintegrowanych z tożsamością, administracją mobilną i krytycznymi procesami biznesowymi.

Kontekst / historia

Pakietowe publikowanie poprawek bezpieczeństwa przez dostawców infrastruktury i oprogramowania biznesowego stało się standardem. Taki model utrudnia jednak zespołom bezpieczeństwa szybkie ustalenie priorytetów, ponieważ w jednym cyklu aktualizacji mogą pojawić się jednocześnie luki zdalne, błędy logiczne w autoryzacji oraz podatności wpływające na warstwę aplikacyjną i middleware.

W tym przypadku wszystkie trzy grupy poprawek dotyczą rozwiązań często osadzonych głęboko w środowiskach produkcyjnych. Ivanti Sentry odpowiada za dostęp i zarządzanie urządzeniami mobilnymi, FortiSandbox wspiera analizę zagrożeń i sandboxing, a platformy SAP obsługują procesy ERP, integracje i federacyjne logowanie. Z perspektywy obrońców oznacza to konieczność szybkiej oceny wpływu na ciągłość działania oraz bezpieczeństwo danych.

Analiza techniczna

W przypadku Fortinet problem dotyczy nieprawidłowej neutralizacji znaków specjalnych używanych w poleceniach systemowych. Tego typu command injection może umożliwić nieuwierzytelnionemu atakującemu przesłanie specjalnie przygotowanego żądania HTTP, które doprowadzi do wykonania nieautoryzowanych poleceń przez system lub komponent backendowy. Jeśli podatność jest osiągalna przez interfejs WWW, konsekwencją może być pełne przejęcie urządzenia albo wykorzystanie go jako punktu wejścia do dalszego ruchu lateralnego.

W Ivanti Sentry najgroźniejszy jest efekt połączenia dwóch klas błędów. CVE-2026-10520 to luka typu OS command injection, która może prowadzić do zdalnego wykonania kodu z uprawnieniami roota bez uwierzytelnienia. Z kolei CVE-2026-10523 pozwala na obejście mechanizmów uwierzytelniania i utworzenie dowolnych kont administracyjnych. Taki zestaw znacząco zwiększa ryzyko, ponieważ umożliwia zarówno wejście do systemu, jak i utrwalenie dostępu przy użyciu pozornie legalnych kont.

Po stronie SAP krytyczne znaczenie mają błędy związane z przetwarzaniem danych i mechanizmami zaufania. CVE-2026-44748 dotyczy XML Signature Wrapping w uwierzytelnianiu SAML, co może prowadzić do manipulacji informacjami o tożsamości mimo pozornie poprawnego podpisu. CVE-2026-27671 opisuje memory corruption w Application Server ABAP, CVE-2026-22732 wiąże się z komponentami Spring Security w SAP Commerce Cloud i SAP Data Hub, a CVE-2026-40128 odnosi się do directory traversal w SAP NetWeaver AS Java. Razem tworzy to zestaw ryzyk obejmujących tożsamość, integralność procesu i dostęp do zasobów systemowych.

W praktyce takie podatności rzadko są wykorzystywane w izolacji. Atakujący mogą łączyć luki dostępne bez uwierzytelnienia z błędami autoryzacji i słabościami warstwy aplikacyjnej, budując pełny łańcuch ataku od wejścia do środowiska aż po eskalację uprawnień i trwałość.

Konsekwencje / ryzyko

Ryzyko operacyjne jest wysokie, ponieważ część opisanych błędów może zostać wykorzystana zdalnie i bez wcześniejszego uwierzytelnienia. W środowiskach produkcyjnych może to przełożyć się na przejęcie serwera lub urządzenia bezpieczeństwa, utworzenie nieautoryzowanych kont administracyjnych, obejście mechanizmów logowania federacyjnego oraz dostęp do danych wrażliwych.

• przejęcie systemu dostępnego z internetu,
• modyfikację konfiguracji lub uprawnień administracyjnych,
• naruszenie procesów uwierzytelniania i zaufania,
• wykorzystanie podatnego hosta jako przyczółka do dalszych ataków,
• zakłócenie działania usług krytycznych dla biznesu.

Szczególnie niebezpieczne są incydenty dotyczące systemów pośredniczących lub centralnych. Kompromitacja Ivanti Sentry może uderzyć w bezpieczeństwo dostępu mobilnego i administracyjnego, przejęcie FortiSandbox osłabia warstwę detekcji i analizy zagrożeń, a podatności SAP mogą bezpośrednio wpływać na systemy finansowe, logistyczne, kadrowe i tożsamościowe.

Rekomendacje

Organizacje korzystające z tych rozwiązań powinny potraktować czerwcowe aktualizacje jako pilne i wdrożyć działania równolegle w kilku obszarach. W pierwszej kolejności należy ustalić, czy w środowisku działają podatne wersje FortiSandbox, Ivanti Sentry lub komponentów SAP objętych notami bezpieczeństwa.

• zweryfikować inwentarz aktywów i wersje oprogramowania,
• nadać najwyższy priorytet systemom wystawionym do internetu,
• wdrożyć poprawki producentów zgodnie z zalecanymi wersjami naprawczymi,
• przeanalizować logi pod kątem nietypowych żądań HTTP, zmian kont i anomalii backendowych,
• ograniczyć ekspozycję interfejsów administracyjnych do segmentów zarządzających lub VPN,
• włączyć dodatkowe zabezpieczenia, takie jak MFA, reguły WAF i filtrowanie po adresach źródłowych,
• przygotować procedury reagowania, w tym rotację poświadczeń i weryfikację integralności konfiguracji.

W przypadku Ivanti szczególnie istotne jest przejście co najmniej na wersje R10.5.2, R10.6.2 lub R10.7.1, zależnie od używanej gałęzi. W środowiskach SAP trzeba nie tylko wdrożyć odpowiednie noty bezpieczeństwa, ale również sprawdzić zależności między komponentami oraz wpływ poprawek na integracje biznesowe.

Podsumowanie

Czerwcowe poprawki od Ivanti, Fortinet i SAP pokazują, że krytyczne podatności nadal regularnie pojawiają się w rozwiązaniach pełniących kluczowe role w infrastrukturze przedsiębiorstw. Wśród załatanych błędów znalazły się luki umożliwiające zdalne wykonanie kodu, obejście uwierzytelniania, manipulację tożsamością SAML oraz naruszenie integralności procesów aplikacyjnych.

Dla zespołów bezpieczeństwa oznacza to konieczność szybkiego patchowania, priorytetyzacji systemów wystawionych na sieć i aktywnego monitorowania oznak prób exploitacji. W praktyce to czas reakcji oraz jakość procesu aktualizacji będą decydować o odporności organizacji na najbliższą falę ataków.

Źródła

• https://thehackernews.com/2026/06/ivanti-fortinet-and-sap-release-patches.html
• https://support.sap.com/en/my-support/knowledge-base/security-notes-news/june-2026.html
• https://fortiguard.fortinet.com/psirt/FG-IR-26-284
• https://hub.ivanti.com/s/article/Security-Advisory-Ivanti-Sentry-CVE-2026-10520-CVE-2026-10523
• https://labs.watchtowr.com/ivanti-rce-cve-2026-10520