Check Point закрыла zero-day в VPN, одну из атак связали с Qilin

Check Point Software Technologies выпустила hotfix для CVE-2026-50751 — критической уязвимости обхода аутентификации в VPN-шлюзах с устаревшим IKEv1. Компания наблюдает эксплуатацию с 7 мая 2026 года; один подтвержденный инцидент связан с активностью аффилиата вымогательского ПО Qilin. CISA внесла проблему в каталог Known Exploited Vulnerabilities, срок устранения для федеральных ведомств США — 11 июня 2026 года.

Check Point Software Technologies выпустила экстренные исправления для CVE-2026-50751 — критической уязвимости обхода аутентификации в Check Point Remote Access VPN и Mobile Access при использовании устаревшего протокола обмена ключами IKEv1. Как сообщила компания, ошибка в логике проверки сертификатов позволяет удаленному злоумышленнику установить VPN-сеанс без действительного пользовательского пароля. Оценка CVSS — 9,3.

По данным Check Point, эксплуатация CVE-2026-50751 наблюдается с 7 мая 2026 года, а в начале июня активность выросла. Компания оценивает масштаб как несколько десятков целевых организаций по всему миру. Один подтвержденный случай включал посткомпрометационную активность, связанную с аффилиатом вымогательского ПО Qilin; атрибуцию оператора кампании к использованию Qilin Check Point дает со средней уверенностью.

Затронуты конфигурации Remote Access VPN, Mobile Access/SSL VPN и Spark Firewall в ветках R80.20.X, R80.40, R81, R81.10, R81.10.X, R81.20, R82, R82.00.X и R82.10, если используется устаревший IKEv1. Администраторам рекомендуется немедленно установить hotfix. Если быстро обновиться невозможно, Check Point предлагает отключить поддержку legacy Remote Access Client, перевести Remote Access VPN на IKEv2, сделать машинный сертификат обязательным и обновить IPS-сигнатуры.

В ходе расследования Check Point также закрыла CVE-2026-50752: эта ошибка в проверке сертификатов IKEv1 может позволить атаку man-in-the-middle на site-to-site VPN, но ее эксплуатация пока не наблюдалась. В NVD указано, что CVE-2026-50751 включена в каталог CISA Known Exploited Vulnerabilities; для федеральных ведомств США срок устранения установлен на 11 июня 2026 года.