9.3/10 в Check Point. Хакеры научились входить в корпоративные VPN без учётных данных — и уже вовсю этим пользуются

Check Point предупредила о реальных атаках через критическую уязвимость CVE-2026-50751, которая позволяет подключиться к защищённой сети без действующего пароля пользователя.

Проблема затрагивает решения Check Point Remote Access VPN и Mobile Access, если в них включён устаревший протокол обмена ключами IKEv1. По данным специалистов Check Point Research, злоумышленники используют ошибку в том, как система проверяет сертификаты. При успешной атаке они могут создать сеанс удалённого доступа и обойти обычную проверку подлинности.

Само подключение к VPN ещё не даёт полного контроля над внутренней сетью. Чтобы получить доступ к ресурсам компании или повысить привилегии, атакующим нужны дополнительные действия уже после входа. Однако сам факт, что пароль удаётся обойти, делает уязвимость особенно опасной, поскольку VPN обычно стоит на границе корпоративной инфраструктуры.

CVE-2026-50751 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:N — 9,3 Critical) уже эксплуатируют в реальных атаках. Пока известны лишь несколько десятков целевых организаций по всему миру, но в одном из случаев после взлома была подтверждена активность, связанная с партнёром вымогательской группировки Qilin.

Первые признаки эксплуатации, по данным Check Point, относятся к 7 мая 2026 года. Расследование началось 4 июня после того, как была замечена подозрительная активность, а в начале июня число попыток атак выросло. Командам реагирования советуют проверить журналы событий и настройки VPN начиная с самой ранней известной даты эксплуатации.

По оценке компании, за атаками с умеренной степенью уверенности стоит финансово мотивированный злоумышленник, использующий вымогательское ПО Qilin. Check Point также считает, что та же инфраструктура может применяться, чтобы эксплуатировать другие уязвимости в VPN-решениях, включая продукты Palo Alto, Fortinet и F5. В отдельных признаках активности специалисты увидели, что злоумышленники могли использовать протокол Tox для связи, что часто встречается у операторов вымогательских атак.

Атакующие использовали выделенные виртуальные серверы у разных поставщиков, включая Kaupo Cloud HK, Shock Hosting и Vultr Holdings. В некоторых случаях инфраструктура подбиралась с учётом страны жертвы: при атаках на организации на Тайване использовались серверы, географически привязанные к Тайваню. После успешного доступа Check Point видела пересечения с Linux-образцами вымогательского ПО Qilin и попытками загрузить вредоносные ELF-файлы с серверов злоумышленников.

В ходе расследования Check Point также нашла вторую уязвимость, CVE-2026-50752 (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N — 7.4 High). Она тоже связана с тем, как проверяются сертификаты в устаревшем IKEv1, но затрагивает уже VPN-соединения между площадками и при определённых условиях позволяет провести атаку «человек посередине». Признаков эксплуатации в реальных атаках компания пока не видит.

Под угрозой находятся Mobile Access, SSL VPN, Remote Access VPN, Security Gateways и Spark Firewall в версиях R80.20.X, R80.40, R81, R81.10, R81.10.X, R81.20, R82, R82.00.X и R82.10, включая ряд версий с завершённой поддержкой. Check Point выпустила исправления и рекомендует немедленно обновить все затронутые шлюзы. Если быстро установить обновление нельзя, администраторам стоит проверить настройки удалённого доступа и отключить опасные конфигурации с устаревшим IKEv1.