Массовое обновление безопасности от Check Point: шесть критических уязвимостей в Security Gateways угрожают корпоративным сетям

26 мая 2026 года компания Check Point выпустила сразу шесть бюллетеней безопасности, посвящённых уязвимостям в своих межсетевых экранах нового поколения (Security Gateways) и сопутствующих компонентах. Проблемы затрагивают практически все поддерживаемые версии программного обеспечения, включая актуальные линейки R81.20, R82 и R82.10. Наиболее опасные дефекты позволяют удалённо вызвать отказ в обслуживании или даже получить доступ к внутренним файлам устройства без аутентификации.

Содержание

Почему это событие важно?
Факты: какие уязвимости обнаружены?
Какие версии затронуты?
Последствия и риски
Что делать специалистам?
Вывод
Ссылки

Почему это событие важно?

Check Point - один из ведущих мировых поставщиков решений для информационной безопасности. Её шлюзы используются в крупных корпорациях, государственных учреждениях и провайдерах услуг. Одновременное обнаружение сразу шести уязвимостей в ключевом продукте означает, что потенциально уязвимы миллионы устройств по всему миру. Злоумышленники, особенно участники целевых атак, активно ищут способы эксплуатации таких дефектов. Поэтому каждому администратору следует как можно скорее установить исправления или применить временные меры защиты.

Факты: какие уязвимости обнаружены?

Всего зафиксировано шесть уязвимостей, получивших идентификаторы в системе CVE (Common Vulnerabilities and Exposures, общеизвестные уязвимости и риски). Рассмотрим каждую кратко.

CVE-2026-48131 (высокий уровень опасности) связана с некорректной обработкой фрагментов IKE (Internet Key Exchange, протокол обмена ключами для VPN) на порту 500/UDP. Специально сформированный пакет с нулевым порядковым номером вызывает ошибку записи за пределами выделенной области кучи, что приводит к аварийному завершению VPN-сервиса. Существующие IPsec-туннели продолжают работать, но новые соединения невозможны до автоматического перезапуска сервиса.
CVE-2026-48132 (высокий уровень) затрагивает обработку IKE-трафика через NAT-T (Network Address Translation Traversal, механизм прохождения трафика через трансляцию адресов) на порту 4500/UDP. Проблема в том, что шлюз не проверяет длину определённых полей в пакетах. Некорректный пакет может привести к остановке VPN-обработчика.
CVE-2026-48133 (высокий уровень) - наиболее опасная уязвимость из всех. При включённом компоненте Identity Awareness (модуль распознавания пользователей) с аутентификацией через браузер неаутентифицированный злоумышленник может прочитать произвольные внутренние файлы на шлюзе. Речь идёт о включении локального файла (Local File Inclusion) в Captive Portal - странице принудительной аутентификации. Это даёт возможность получить конфиденциальные данные, например, ключи или пароли.
CVE-2026-48134 (средний уровень) - уязвимость SQL-инъекции в портале UserCheck, который используется при включённой функции DLP (Data Loss Prevention, предотвращение утечек данных). Атакующий, имеющий доступ к странице UserCheck Ask, может манипулировать записями инцидентов, нарушая целостность данных или вызывая перегрузку ресурсов.
CVE-2026-48135 (средний уровень) - проблема в обработке некорректных HTTP-запросов в веб-сервисах Check Point, таких как Mobile Access Portal или Identity Awareness Portal (кроме Captive Portal). Она может привести к отказу в обслуживании, внедрению HTTP-заголовков или переполнению кучи.
CVE-2026-48136 (средний уровень) касается системы управления несколькими доменами (Multi-Domain Security Management) и позволяет авторизованному администратору с правами на один домен управления модифицировать метаданные комплаенс-политик (Compliance Best Practices) в другом домене, обходя контроль доступа на основе ролей (RBAC - Role-Based Access Control). Это нарушает изоляцию между клиентами в мультитенантной среде.

Какие версии затронуты?

Уязвимым оказались Security Gateways версий R81.20 (без накопительного исправления Take 141), R82 (без Take 103) и R82.10 (без Take 19), а также Spark Firewalls серий R81 и R82 (до версий R81.10.17 и R82.00.10 соответственно). Кроме того, все выпуски R81.10 и ниже, включая давно снятые с поддержки R77.20, также подвержены проблемам, но для них уже не выпускаются исправления. В случае с CVE-2026-48136 затронута только Multi-Domain Management.

Последствия и риски

Злоумышленники могут использовать эти уязвимости в цепочке атак. Например, сначала через CVE-2026-48133 прочитать учётные данные или конфигурацию, затем через уязвимости в IKE вызвать отказ в обслуживании VPN, парализовав удалённый доступ сотрудников. Или, имея доступ к порталу UserCheck (CVE-2026-48134), внедрить SQL-запрос и подменить записи о блокировках DLP, чтобы пропустить конфиденциальные данные наружу.

Важно подчеркнуть, что CVE-2026-48131, 48132 и 48133 затрагивают самую сердцевину работы шлюза - VPN-соединения и аутентификацию. Простой VPN может означать остановку бизнес-процессов, потерю доступа к критическим системам, невозможность работы удалённых сотрудников. А возможность чтения файлов без аутентификации создаёт угрозу компрометации всей сети: злоумышленник может получить хэши паролей, сертификаты, скрипты автоматизации.

Что делать специалистам?

Check Point предоставил временные меры для снижения риска до установки обновлений. Для CVE-2026-48131 и 48132 необходимо включить IPS-защиту (Intrusion Prevention System, система предотвращения вторжений) с соответствующими правилами: "IKE Unsigned Underflow" и "IKE Improper Length Validation" в режиме блокировки. Для CVE-2026-48133 и 48134 следует ограничить доступ к Captive Portal и UserCheck только внутренними интерфейсами шлюза. Для CVE-2026-48135 рекомендуется настроить доступ только из доверенных сетей и отключить неиспользуемые веб-порталы. Для CVE-2026-48136 усилить многофакторную аутентификацию для всех администраторов.

Основное решение - установка накопительных исправлений (Jumbo Hotfix Accumulator) для каждой линейки: Take 141 для R81.20, Take 103 для R82 и Take 19 для R82.10. Для Spark Firewalls нужно обновиться до R81.10.17 или R82.00.10. Администраторам, использующим Multi-Domain Management, также необходимо установить соответствующие исправления.

Вывод

Эта массовая публикация уязвимостей напоминает о критической важности своевременного управления обновлениями в корпоративной инфраструктуре. Особенно тревожит уязвимость CVE-2026-48133, которая не требует аутентификации и позволяет читать файлы изнутри шлюза. Атаки на VPN-сервисы становятся всё более изощрёнными, а потому медлить с установкой патчей нельзя. Рекомендуется в ближайшее время запланировать окно обслуживания для применения исправлений, а до этого - строго соблюдать все указанные временные меры защиты.