DevSecOps Digest
Щоденний DevSecOps дайджест

DevSecOps дайджест — 11 червня 2026

posts · 2026-06-11

Ключові новини

  • Ivanti Sentry отримав критичний pre-auth RCE на edge-рівні. CVE-2026-10520 дає unauthenticated root-level command execution, а CVE-2026-10523 — створення admin accounts; це небезпечно саме тому, що Sentry часто стоїть між мобільними пристроями й внутрішніми email/app системами (Help Net Security, WatchTowr Labs).
  • Червневий Microsoft Patch Tuesday варто читати як cloud/identity backlog, не просто Windows-патчі. У списку є exploited Microsoft Defender EoP, критичний AKS RCE, HTTP.sys RCE, Azure HorizonDB EoP, Copilot/M365 Copilot disclosure/RCE та низка RDP/Office/ADDS вразливостей (Zero Day Initiative, BleepingComputer).
  • Privacy compliance рухається ближче до runtime enforcement. GDPRuler показує патерн, де policy checks, metadata, confidential VM attestation і tamper-evident audit logs стоять між застосунком і key-value storage, а не живуть лише в документах для аудиту (Help Net Security).
  • KEV лишається сильним сигналом для пріоритизації, але не має бути єдиним фільтром. CISA додала Arista EOS, Chromium V8 і Cisco Catalyst SD-WAN Manager, але сьогоднішній Ivanti-кейс показує інший клас ризику: public technical details можуть різко скоротити час до weaponization навіть до появи в KEV (CISA).

3 матеріали, які варто прочитати

  1. WatchTowr Labs — Ivanti Sentry Pre-Auth OS Command Injection — корисний розбір для edge-appliance threat modeling: unauthenticated management/config endpoints, root execution path і чому “security gateway” сам стає privileged entry point.
  2. Zero Day Initiative — The June 2026 Security Update Review — швидкий спосіб розкласти Microsoft-патчі за експлуатацією, критичністю й blast radius: Defender, AKS, Azure, Copilot, RDP, Office, ADDS.
  3. Help Net Security — Making the cloud prove it followed your privacy wishes — сильний матеріал про compliance-as-enforcement: attestation, confidential computing, metadata-driven policy і audit evidence, яке можна перевірити.

Практичний висновок

Цього тижня варто зробити короткий edge + cloud control review: знайти internet-facing gateways, MDM/VPN/Sentry-подібні appliances, AKS/Azure workloads і Copilot/agent integrations; для кожного зафіксувати patch status, owner, exposure, logs, rollback і окремий kill-switch для privileged automation.