严重 Check Point VPN 漏洞遭利用，可绕过 IKEv1 配置中的密码认证

Check Point 警告称，一个影响 Remote Access VPN 和 Mobile Access 部署的严重漏洞正遭到活跃利用，这些部署配置使用了已弃用的 IKEv1 密钥交换协议。

该漏洞编号为 CVE-2026-50751（CVSS 评分：9.3），是证书验证中的逻辑流缺陷，允许未经身份验证的远程攻击者绕过用户身份验证，在无需有效用户密码的情况下建立远程访问 VPN 连接。

“通过利用证书验证中的逻辑缺陷，攻击者可以在没有有效密码的情况下建立 VPN 会话，从而有效绕过身份验证要求，”Check Point 表示。“访问内部资源或提升权限还需要额外的后身份验证活动。”

该漏洞影响以下产品和版本：

• Security Gateways：R82.10 Jumbo Hotfix Take 19 及以下、R82 Jumbo Hotfix Take 103 及以下、R81.20 Jumbo Hotfix Take 141 及以下、R81.10（EOS）、R81（EOS）和 R80.40（EOS）
• Spark Firewalls：R80.20.X（EOS）、R81.10.X 和 R82.00.X

成功利用需要满足以下条件：

• 启用了 VPN Remote Access 或 Mobile Access
• 为远程访问启用了 IKEv1
• 网关接受旧版 Remote Access 客户端
• 网关不要求连接使用机器证书

这家以色列网络安全公司表示，他们于 2026 年 6 月 4 日首次观察到可疑活动的迹象，最早可追溯到的利用记录为 2026 年 5 月 7 日。据称，利用活动从本月开始有所增加。

Check Point 补充说，利用活动仅限于“全球数十个有针对性的组织”。在一个案例中，利用后阶段与一个 Qilin 勒索软件关联方有关。

“我们认为，该威胁行为者的基础设施正在利用其他 VPN 相关漏洞，例如 Palo Alto [Networks]、Fortinet 和 F5 发布的漏洞，”该公司指出。“我们识别出的指标表明，该行为者可能使用 Tox 协议进行通信，这是经济驱动的勒索软件行为者常见的模式。”

一个关键方面是使用虚拟专用服务器（VPS）基础设施来发起攻击。具体来说，这涉及依赖位于特定国家的 VPS 服务器来针对该国境内的组织。一旦建立访问权限，发现攻击者试图从行为者控制的基础设施下载恶意 ELF 文件。

这些活动中的某些方面与上个月 Ctrl-Alt-Intel 的一份报告有重叠，该报告强调了该勒索软件团伙滥用企业 VPN 设备进行初始访问。

“据我们目前所知，没有迹象表明该漏洞已广泛提供给其他威胁行为者，”Check Point Research 通过电子邮件告诉 The Hacker News。“这些活动明显是机会主义的，针对的是易受攻击的组织，而非特定目标。”

对受影响 VPN 组件的进一步审查发现了第二个漏洞 CVE-2026-50752（CVSS 评分：7.40），该漏洞可能允许对 VPN 站点到站点连接进行中间人（AitM）攻击。目前没有证据表明该漏洞已在真实攻击中被利用。