Специалисты по информационной безопасности из Check Point Research зафиксировали активную эксплуатацию опасной уязвимости CVE-2026-50751 в собственных продуктах компании. Эта проблема затрагивает решения Remote Access VPN и Mobile Access, которые используют устаревший протокол обмена ключами IKEv1. Уязвимость позволяет атакующему полностью обойти аутентификацию и установить VPN-соединение, не зная пароля пользователя. По данным исследователей, инциденты уже затронули несколько десятков организаций по всему миру, а в одном случае компрометация привела к активности, связанной с партнёрами программы-вымогателя Qilin.
Описание
Проблема классифицируется как нарушение аутентификации (CWE-287) и получила максимальную оценку 9,3 балла по шкале CVSS (Common Vulnerability Scoring System - стандартная система оценки критичности уязвимостей). Причина кроется в логической ошибке при проверке сертификатов в компонентах Remote Access и Mobile Access во время обмена ключами по протоколу IKEv1. Злоумышленник, не имеющий легитимных учётных данных, может отправить специально сформированный запрос и получить доступ к корпоративной VPN-сети. Правда, для дальнейшего проникновения во внутренние ресурсы или повышения привилегий всё же требуются дополнительные действия после аутентификации.
Наблюдения показывают, что попытки эксплуатации начались по меньшей мере 7 мая 2026 года, а к началу июня их число резко возросло. Компания Check Point характеризует кампанию как ограниченную - затронуто несколько десятков организаций по всему миру. При этом есть доказательства того, что одна из атак была проведена партнёром программы-вымогателя Qilin. Исследователи с умеренной уверенностью связывают этот инцидент с финансово мотивированными злоумышленниками. Они отмечают, что та же инфраструктура, вероятно, используется для эксплуатации уязвимостей в продуктах других вендоров - Palo Alto Networks, Fortinet и F5. Злоумышленники применяли выделенные виртуальные частные серверы (VPS), размещённые у хостинг-провайдеров Kaupo Cloud HK, Shock Hosting и Vultr Holdings. Интересно, что география серверов часто совпадала с местоположением жертвы. Например, для атак на организации на Тайване использовалась инфраструктура, размещённая на Тайване же.
В ходе расследования специалисты Check Point Research обнаружили также связанную уязвимость CVE-2026-50752 (оценка 7,4 балла). Она затрагивает ту же логику проверки сертификатов в протоколе IKEv1, но в контексте соединений "сеть-сеть". При определённых условиях атакующий, находящийся между двумя шлюзами (человек посередине), может вмешаться в шифрованный туннель. Однако случаев эксплуатации этой уязвимости пока не выявлено. Тем не менее, компания выпустила исправления и для неё, подчеркнув важность сочетания разведки угроз, исследовательской работы и автоматизированного анализа кода с помощью ИИ для заблаговременного выявления проблем.
Список затронутых версий обширен - он включает все основные ветки продуктов Remote Access VPN, Mobile Access/SSL VPN и Spark Firewall, начиная с давно устаревших R80.20.X и заканчивая актуальными R82.10. Примечательно, что четыре ветки (R80.20.X, R80.40, R81, R81.10) уже достигли конца поддержки. Если организация всё ещё использует их, необходимо срочно спланировать миграцию на поддерживаемый релиз. Сама Check Point уже выпустила горячие исправления (hotfix) для CVE-2026-50751 и настоятельно рекомендует установить их в экстренном порядке, не дожидаясь планового цикла обновлений.
Для тех, кто пока не может применить патч, вендор предлагает временные меры защиты: отключить поддержку устаревших клиентов удалённого доступа, принудительно настроить аутентификацию только на протокол IKEv2, сделать обязательным использование машинных сертификатов, а также включить систему предотвращения вторжений (IPS) и загрузить последние сигнатуры. Аналитики из Rapid7, которые также изучали инцидент, советуют даже после установки обновлений провести тщательный аудит логов и конфигураций, начиная с 7 мая - самой ранней зафиксированной даты атаки.
Это не первый случай, когда продукты Check Point становятся мишенью для атак нулевого дня. В мае 2024 года уязвимость CVE-2024-24919 (высокий уровень опасности) в межсетевых экранах Quantum Security Gateways активно эксплуатировалась и позже попала в каталог известных уязвимостей CISA. Текущий инцидент напоминает о критической важности своевременного обновления инфраструктуры, особенно когда речь идёт о компонентах, обеспечивающих удалённый доступ. Злоумышленники всё чаще нацелены на VPN-шлюзы: единожды получив точку входа, они могут незаметно закрепиться в сети, украсть данные или развернуть программы-вымогатели. Организациям, использующим Check Point, стоит действовать без промедления - установить патчи и проверить логи на предмет признаков компрометации ещё до начала атак.
Индикаторы компрометации
IPv4
- 144.208.127.155
- 162.33.177.101
- 209.182.225.136
- 38.54.107.167
- 38.54.88.201
- 38.60.157.139
- 45.76.26.42
- 45.77.149.152
- 66.42.99.200
MD5
- 51d39aa39478beeac94f2d12f682ecce
- 52fda5c1b9704544f32ee98d9060e689
