Mastodon Mastodon Mastodon Mastodon

Ataques vía IKEv1 contra Remote Access VPN de Check Point

Foto del autor

CyberSecureFox Editorial Team

Publicado:

La empresa Check Point informó sobre la explotación activa de la vulnerabilidad crítica CVE-2026-50751 (CVSS 9.3) en sus productos Remote Access VPN y Mobile Access. La vulnerabilidad permite a un atacante no autenticado eludir la verificación de autenticidad y establecer una sesión VPN sin una contraseña válida, aprovechando un error lógico en el procedimiento de validación de certificados al trabajar a través del protocolo obsoleto IKEv1. Según el proveedor, los ataques han afectado a varias decenas de organizaciones en todo el mundo, y los indicios más antiguos de explotación se remontan a mayo de 2026. Los administradores de Check Point con el acceso remoto VPN mediante IKEv1 habilitado deben instalar de inmediato los parches publicados.

Esencia técnica de la vulnerabilidad

La raíz del problema es un error lógico en el proceso de validación de certificados (logic flow weakness in certificate validation). Con una determinada configuración del gateway, un atacante puede eludir los requisitos de autenticación y establecer una sesión VPN completa sin presentar una contraseña correcta. Según datos de Check Point, tras el establecimiento de la sesión se requieren acciones adicionales para acceder a los recursos internos o para escalar privilegios: por sí mismo, el bypass de la autenticación no otorga un control total inmediato sobre la red, pero sí crea un punto de entrada.

Para explotar con éxito CVE-2026-50751 es necesario que se cumplan simultáneamente cuatro condiciones:

  • En el gateway está habilitado VPN Remote Access o Mobile Access
  • Para el acceso remoto se utiliza el protocolo IKEv1
  • El gateway acepta conexiones de clientes de acceso remoto heredados (legacy Remote Access clients)
  • El gateway no requiere un certificado de máquina para la conexión

Productos y versiones afectadas

Según el boletín de seguridad, la vulnerabilidad afecta a:

  • Security Gateways: R82.10 Jumbo Hotfix Take 19 e inferiores, R82 Jumbo Hotfix Take 103 e inferiores, R81.20 Jumbo Hotfix Take 141 e inferiores, así como versiones fuera de soporte — R81.10, R81, R80.40
  • Spark Firewalls: R80.20.X (fuera de soporte), R81.10.X, R82.00.X

Cabe destacar que una parte significativa de las versiones vulnerables ya se encuentra en estado End of Support (EOS). Las organizaciones que utilizan estas versiones no solo están expuestas a esta vulnerabilidad, sino que también carecen de la posibilidad de obtener una corrección oficial por la vía estándar.

Segunda vulnerabilidad: CVE-2026-50752

Durante el análisis de los componentes VPN afectados se descubrió una vulnerabilidad adicional — CVE-2026-50752 (CVSS 7.4). Potencialmente permite llevar a cabo un ataque de tipo «intermediario malicioso» (adversary-in-the-middle) contra conexiones VPN entre sitios (site-to-site). Según el proveedor, por el momento no existen indicios de explotación de esta vulnerabilidad en ataques reales.

Contexto de la amenaza y actividad observada

Según Check Point, los primeros indicios de actividad sospechosa se registraron el 4 de junio de 2026, aunque un análisis retrospectivo mostró que los casos más antiguos de explotación se remontan al 7 de mayo de 2026. La intensidad de los ataques, según se informa, ha aumentado notablemente en el mes actual. El proveedor evalúa la escala de la campaña como limitada: se han visto afectadas varias decenas de organizaciones en todo el mundo.

Un rasgo característico de los ataques observados es el uso de infraestructura VPS cuya geolocalización coincide con el país en el que se encuentra la organización objetivo. Este enfoque dificulta la detección de anomalías basadas en la geografía de las conexiones. Tras obtener acceso, los atacantes, según Check Point, intentaron descargar archivos ELF maliciosos desde infraestructura bajo su control.

Se informa de que algunos elementos de la actividad observada coinciden con el informe de Ctrl-Alt-Intel sobre el uso de dispositivos VPN corporativos para el acceso inicial por parte de operadores de ransomware. Sin embargo, cabe señalar que la atribución a grupos concretos en esta fase se basa en fuentes aisladas y requiere una interpretación prudente.

Evaluación del impacto

La criticidad de CVE-2026-50751 viene determinada por varios factores. En primer lugar, los gateways VPN son por naturaleza puntos de entrada a la red corporativa: la compromisión de la autenticación a este nivel potencialmente abre el acceso a toda la infraestructura interna. En segundo lugar, el protocolo IKEv1 se considera oficialmente obsoleto, pero sigue utilizándose en organizaciones con infraestructura heredada, donde la migración a IKEv2 se pospone debido a la compatibilidad con clientes antiguos. En tercer lugar, un CVSS de 9.3 y la explotación confirmada en ataques reales sitúan esta vulnerabilidad en la categoría de máxima prioridad.

Las organizaciones más expuestas al riesgo son aquellas que:

  • Utilizan Check Point para el acceso remoto VPN de los empleados
  • No han migrado de IKEv1 a IKEv2
  • Operan con versiones fuera de soporte (R80.40, R81, R81.10)
  • No exigen certificados de máquina para la conexión

Recomendaciones de protección

  1. Instale los parches de inmediato. Check Point ha publicado hotfixes para las versiones con soporte. La prioridad es máxima, dado que la explotación está confirmada.
  2. Desactive IKEv1 para el acceso remoto. Si los procesos de negocio lo permiten, migre todas las conexiones VPN a IKEv2. Esto elimina el vector principal de ataque.
  3. Active el requisito de certificado de máquina. Esta es una de las cuatro condiciones de explotación: su cumplimiento bloquea el ataque incluso en sistemas sin parchear.
  4. Desactive la compatibilidad con clientes de acceso remoto heredados. Si los clientes heredados no se utilizan, desactivar su compatibilidad cierra otra de las condiciones necesarias.
  5. Realice una auditoría de los registros de VPN. Revise los logs en busca de sesiones VPN anómalas desde mayo de 2026, especialmente conexiones desde proveedores de VPS y los intentos de descarga de archivos ELF tras el establecimiento de la sesión.
  6. Para sistemas fuera de soporte, planifique una migración de emergencia a versiones con soporte. De forma temporal, restrinja el acceso al gateway VPN por direcciones IP o desactive el acceso remoto mediante IKEv1.

Las organizaciones que utilizan Check Point VPN con el protocolo IKEv1 deben considerar la instalación de los hotfixes como una tarea de horas, no de días. Paralelamente, es necesario comprobar el cumplimiento de las cuatro condiciones de explotación y eliminar al menos una de ellas a nivel de configuración, lo que proporcionará protección incluso en caso de retraso con el parche. La recomendación a largo plazo es abandonar por completo IKEv1 en favor de IKEv2, lo que excluye toda una clase de ataques asociados al protocolo obsoleto.

Foto del autor

CyberSecureFox Editorial Team

El equipo editorial de CyberSecureFox cubre noticias de ciberseguridad, vulnerabilidades, campañas de malware, actividad de ransomware, AI security, cloud security y security advisories de proveedores. Los materiales se preparan a partir de official advisories, datos de CVE/NVD, alertas de CISA, publicaciones de proveedores e informes públicos de investigadores. Los artículos se revisan antes de su publicación y se actualizan cuando aparece nueva información.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

CyberSecureFox

© 2026 INFO

Sobre el sitio

Sobre CyberSecureFox

Autores

Contacto

Redacción

Estándares editoriales

Correcciones

Legal

Política de privacidad

Términos de servicio