В продуктах Check Point для удалённого доступа через VPN (виртуальная частная сеть) обнаружены две уязвимости, которые позволяют злоумышленникам проникать в корпоративные сети без пароля. Одна из них уже стала zero-day - её активно эксплуатируют хакеры, и, по данным компании, в одном инциденте после взлома были установлены программы-вымогатели. Национальный центр кибербезопасности Нидерландов (NCSC-NL) предупреждает о высокой вероятности масштабных атак в ближайшее время.
Детали уязвимостей
Речь идёт о брешах в старом протоколе обмена ключами IKEv1, который до сих пор используется в некоторых конфигурациях Check Point Security Gateway и Remote Access VPN. Обе уязвимости получили идентификаторы CVE (единый реестр уязвимостей) CVE-2026-50751 и CVE-2026-50752. Первая из них позволяет обойти проверку сертификатов при подключении к VPN. Неавторизованный удалённый злоумышленник может установить защищённое соединение без ввода учётных данных пользователя. Вторая, более сложная, даёт возможность атаки "человек посередине" при организации VPN-туннелей между двумя сетями. Нарушитель, заняв положение между узлами, способен перехватывать или подменять трафик, который идёт по зашифрованному каналу. Для второй уязвимости показатель CVSS (система оценки критичности уязвимостей) составляет 7,4 балла из десяти - это "высокий" уровень опасности.
Первый случай эксплуатации CVE-2026-50751 зафиксирован 7 мая. Check Point подтверждает, что атака была zero-day, то есть компания не знала о проблеме до того, как хакеры начали её использовать. В одном эпизоде после успешного проникновения злоумышленники развернули программы-вымогатели, которые зашифровали данные и потребовали выкуп. Это говорит о том, что нарушители нацелены не просто на разведку, а на нанесение финансового ущерба.
Уязвимости затрагивают широкий спектр продуктов: Quantum Security Gateway на версиях R80.40, R81, R81.10, R81.20 (до определённых сборок с накопительными исправлениями), R82 и R82.10, а также линейку Spark Firewalls на версиях R80.20.X, R81.10.X и R82.00.X. NCSC-NL рекомендует всем организациям, использующим эти устройства с включённым протоколом IKEv1, немедленно применить исправления, выпущенные Check Point. Кроме того, специалистам по информационной безопасности стоит проверить свои системы на индикаторы компрометации (IoC), которые компания опубликовала в своём бюллетене.
Почему эта новость важна именно сейчас? IKEv1 - устаревший протокол, который давно следовало заменить на IKEv2. Однако многие компании, особенно в государственном секторе и промышленности, продолжают его использовать из-за инерции или сложности обновления. Проблема в том, что злоумышленники уже знают о лазейке и активно её тестируют. Предупреждение голландского центра кибербезопасности - не просто формальность. Оно основано на разведке угроз: атакующие сканируют интернет в поисках VPN-шлюзов с IKEv1 и начинают массовые проникновения. Если не предпринять меры в ближайшие дни, многие сети могут оказаться под ударом.
Check Point выпустила горячие исправления (hotfix) для всех затронутых версий. Компания также опубликовала подробные инструкции по их установке и проверке журналов. Для тех, кто не может обновиться немедленно, временной мерой может стать отключение поддержки IKEv1 в конфигурации VPN. Однако это может нарушить работу устаревших клиентов, поэтому решение требует взвешенного подхода.
Эксперты отмечают, что сам факт zero-day для протокола, который считался устаревшим, ещё раз подтверждает: безопасность не терпит компромиссов. Даже если оборудование работает годами, накопленные версии кода могут содержать критические ошибки, которые не были найдены раньше. В данном случае баг связан с логикой проверки сертификатов - классическая ошибка, которую разработчики могли не заметить при рефакторинге.
В итоге мы видим классический сценарий: злоумышленники находят слабое место в legacy-системе, используют его до того, как поставщик выпустит патч, а затем активно атакуют всех, кто не успел обновиться. Компании, которые откладывают обновление VPN-инфраструктуры, рискуют не только утечкой данных, но и полной остановкой бизнеса из-за программ-вымогателей. Рекомендуется действовать по плану: проверить версии прошивок, установить патчи, изучить журналы событий на предмет подозрительных подключений и, если возможно, мигрировать на IKEv2. Только такой подход снизит риск до минимума.
Ссылки
- https://blog.checkpoint.com/security/check-point-releases-important-hotfix-for-vulnerabilities-in-deprecated-ikev1-vpn-protocol
- https://www.cve.org/CVERecord?id=CVE-2026-50752
- https://www.cve.org/CVERecord?id=CVE-2026-50751
