Компания Check Point выпустила экстренные исправления (hotfixes) для пары уязвимостей, затрагивающих VPN-развертывания, которые все еще используют устаревший протокол Internet Key Exchange версии 1 (IKEv1). Компания предупреждает, что одна из этих уязвимостей уже эксплуатируется в реальных атаках.
Более серьезная проблема позволяет злоумышленникам устанавливать VPN-сессии без действительного пароля, потенциально предоставляя им плацдарм внутри корпоративных сетей. По данным компании, злоумышленники эксплуатируют эту уязвимость как минимум с начала мая, а активность в последние недели возросла.
«На сегодняшний день зафиксированная эксплуатация ограничивалась несколькими десятками целевых организаций по всему миру», — заявил Лотем Финкельштейн, вице-президент по исследованиям Check Point, в посте в блоге безопасности. «Один из случаев включал подтвержденную активность после компрометации, связанную с аффилированным лицом программы-вымогателя Qilin».
Уязвимости затрагивают клиентов, использующих Remote Access VPN, Mobile Access VPN и некоторые продукты Spark Firewall, настроенные на IKEv1.
Хотя данный протокол уже много лет считается устаревшим, он остается включенным в некоторых средах по соображениям совместимости. Check Point настоятельно призывает затронутых клиентов немедленно применить недавно выпущенные исправления и, по возможности, перейти с IKEv1 на более новый протокол IKEv2.
Устаревший протокол стал активным риском
Эксплуатируемый баг, отслеживаемый как CVE-2026-50571, затрагивает развертывания, которые продолжают принимать подключения удаленного доступа на основе IKEv1.
По данным Check Point, злоумышленники могут использовать логическую ошибку в том, как компоненты Remote Access и Mobile Access проверяют сертификаты в процессе аутентификации. Эксплуатация позволяет неаутентифицированному злоумышленнику установить VPN-соединение, не предоставляя действительный пароль пользователя.
Хотя для доступа к внутренним ресурсам или повышения привилегий могут потребоваться дополнительные шаги, исследователи безопасности отмечают, что обход барьера входа в VPN предоставляет злоумышленникам значительный плацдарм внутри целевых сред.
Уязвимости присвоен тег CWE «Ненадлежащая аутентификация» (Improper Authentication) — CWE-287, а оценка CVSS составляет 9.3. Затронутые версии программной платформы Check Point Quantum, работающие на операционной системе Gaia, которая лежит в основе всех продуктов Check Point, включают R80.20.X (EOS), R80.40 (EOS), R81 (EOS), R81.10 (EOS), R81.10.X, R81.20, R82, R82.00.X, R82.10.
Вторая уязвимость, CVE-2026-50752, была обнаружена в ходе более широкого анализа безопасности, проведенного в рамках расследования Check Point в отношении ошибки ненадлежащей аутентификации. Сообщается, что исследователи использовали платформу безопасности приложений agentic BLAST компании для анализа затронутых VPN-компонентов, что привело к обнаружению дополнительных слабых мест в логике проверки сертификатов.
В отличие от CVE-2026-50571, вновь выявленная проблема не позволяет обойти аутентификацию напрямую. Вместо этого она может позволить злоумышленнику типа «человек посередине» (man-in-the-middle) вмешаться в VPN-коммуникации между сайтами при соблюдении определенных условий.
Этой уязвимости присвоена оценка CVSS 7.4, и на данный момент в реальных атаках попыток ее эксплуатации не наблюдалось.
Принятые меры и выпущенные исправления
Затронутые организации получили набор решений для устранения проблемы, начиная с метода обнаружения атак.
«Проверьте журналы Check Point SmartConsole на предмет возможных попыток аутентификации VPN-сертификатов, связанных с обнаруженной инфраструктурой злоумышленников и именами субъектов сертификатов», — говорится в рекомендации Check Point, в которой приведены запросы SmartConsole для сканирования по временному диапазону, IP-адресу злоумышленника, а также по VPN/IKE-активности.
Кроме того, компания перечислила три совета по смягчению последствий, которые можно применить помимо установки исправлений. Они включают удаление поддержки устаревших клиентских подключений Remote Access, настройку глобальных свойств для аутентификации Remote Access VPN только на IKEv2 и обязательное требование аутентификации по машинному сертификату. Наконец, и это наиболее эффективно, компания выпустила ряд загружаемых исправлений (hotfixes), соответствующих каждой затронутой версии, которые клиенты могут загрузить и применить для полной и немедленной защиты.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma
