SecBoard
KritischCVE WatchScore: 75/100

KEV-Alarm: Ivanti Sentry (CVSS 10.0) und AI-Gateway LiteLLM ohne Authentifizierung ausgenutzt

1. Juli 2026
KEV-Alarm: Ivanti Sentry (CVSS 10.0) und AI-Gateway LiteLLM ohne Authentifizierung ausgenutzt

Kurzfazit

CISA hat mehrere kritische, aktiv ausgenutzte Schwachstellen in den KEV-Katalog aufgenommen. Herausragend: eine OS-Command-Injection in Ivanti Sentry (CVE-2026-10520, CVSS 10.0, EPSS 99 %) mit unauthentifiziertem Root-RCE sowie eine RCE-Kette im AI-Gateway LiteLLM (CVE-2026-42271). Zusätzlich betroffen: SolarWinds Serv-U und Check-Point-VPN.

Was ist passiert?

hat mehrere neue, aktiv ausgenutzte Schwachstellen in den Known-Exploited-Vulnerabilities-Katalog () aufgenommen. Herausragend ist CVE-2026-10520, eine OS-Command-Injection in Ivanti Sentry ( 10.0, 99 %): Ein entfernter, nicht authentifizierter Angreifer kann in Versionen vor R10.5.2, R10.6.2 und R10.7.1 Root-Level-Codeausführung erreichen.

Ebenfalls aufgenommen wurde CVE-2026-42271 im AI-Gateway BerriAI LiteLLM ( 8.8, 76 %): Zwei Endpunkte zur Vorschau eines MCP-Servers lassen sich laut Bericht zu einer unauthentifizierten verketten. Hinzu kommen CVE-2026-28318 (SolarWinds Serv-U, unkontrollierter Ressourcenverbrauch) sowie eine kritische, aktiv ausgenutzte Schwachstelle in Check-Point-Remote-Access-VPN mit veraltetem IKEv1.

Warum ist das relevant?

Eine KEV-Aufnahme bedeutet bestätigte Ausnutzung in freier Wildbahn. Ivanti Sentry ist mit einem perfekten CVSS-Wert von 10.0 und 99 % ein akutes Perimeter-Risiko: als Gateway-Komponente steht es oft am Netzwerkrand und ermöglicht unauthentifizierten Root-Zugriff. Parallel zeigt LiteLLM, dass AI-Gateways — als zentrale Vermittler zu LLM-APIs — zu einer neuen, attraktiven Angriffsfläche werden. Die Häufung unauthentifizierter RCEs an Perimeter- und AI-Infrastruktur erfordert schnelle Priorisierung.

Betroffene Branchen und Technologien

Betroffen sind vor allem Netzwerk- und Perimeter-Systeme (Ivanti Sentry, Check-Point-VPN, SolarWinds Serv-U für Managed File Transfer) sowie AI-/LLM-Infrastruktur (LiteLLM als AI-Gateway). Organisationen mit exponierten Fernzugriffs- und Datei-Transfer-Gateways oder mit LLM-Gateways in der Anwendungslandschaft sind besonders exponiert.

Priorisierungssignale

  • CVE-2026-10520 (Ivanti Sentry): 10.0, 99 %, , unauthentifizierter Root-RCE — höchste Priorität.
  • CVE-2026-42271 (LiteLLM): 8.8, 76 %, , Kette zu unauthentifizierter .
  • CVE-2026-28318 (SolarWinds Serv-U): , Managed-File-Transfer-Exposition.
  • Check-Point-VPN (IKEv1): aktiv ausgenutzt, Passwort-Bypass bei veralteter Konfiguration.

Defensive Empfehlungen

  • Ivanti Sentry sofort auf R10.5.2 / R10.6.2 / R10.7.1 (oder neuer) aktualisieren; Gateway-Exposition minimieren und auf Anzeichen von Root-Kompromittierung prüfen.
  • LiteLLM auf eine gepatchte Version (≥ 1.83.7) heben; die MCP-Preview-Endpunkte absichern und Zugriff auf das AI-Gateway einschränken.
  • SolarWinds Serv-U gemäß Advisory patchen und die Exposition von Managed-File-Transfer-Diensten prüfen.
  • Check-Point-Remote-Access-VPN von veraltetem IKEv1 auf IKEv2 umstellen und den Hersteller-Hinweis umsetzen.
  • KEV-Einträge als harte Patch-Priorisierung nutzen und die Detection auf unauthentifizierte Zugriffe an Gateways schärfen.

Quellenhinweise

Grundlage sind CISA-KEV-Meldungen sowie Berichterstattung von The Hacker News zu LiteLLM und Check Point. Patch-Level und betroffene Versionen bitte über die offiziellen Hersteller-Advisories verifizieren.

Was Security-Teams jetzt prüfen sollten

  • 1Ivanti Sentry umgehend auf R10.5.2 / R10.6.2 / R10.7.1 oder neuer aktualisieren und Gateway-Exposition minimieren.
  • 2LiteLLM auf ≥ 1.83.7 heben, MCP-Preview-Endpunkte absichern und den Zugriff auf das AI-Gateway einschränken.
  • 3SolarWinds Serv-U gemäß Advisory patchen und Managed-File-Transfer-Exposition prüfen.
  • 4Check-Point-Remote-Access-VPN von IKEv1 auf IKEv2 umstellen.
  • 5Detection auf unauthentifizierte Zugriffe und Root-Aktivität an Perimeter-Gateways schärfen.
  • 6KEV-Katalog in die Patch-Priorisierung integrieren (bestätigte Ausnutzung zuerst).

Betroffene Technologien

network-perimeterki-sicherheit
#KEV#CISA#Ivanti#LiteLLM#RCE#VPN