Компания Check Point сообщила об активной эксплуатации критической уязвимости CVE-2026-50751 (CVSS 9.3) в своих продуктах Remote Access VPN и Mobile Access. Уязвимость позволяет неаутентифицированному злоумышленнику обойти проверку подлинности и установить VPN-сессию без валидного пароля, используя логическую ошибку в процедуре валидации сертификатов при работе через устаревший протокол IKEv1. По данным вендора, атаки затронули несколько десятков организаций по всему миру, а самые ранние следы эксплуатации датируются маем 2026 года. Администраторам Check Point с включённым удалённым VPN-доступом через IKEv1 необходимо немедленно установить выпущенные исправления.
Техническая суть уязвимости
Корень проблемы — логическая ошибка в процессе валидации сертификатов (logic flow weakness in certificate validation). При определённой конфигурации шлюза злоумышленник может обойти требования аутентификации и установить полноценную VPN-сессию без предъявления корректного пароля. По данным Check Point, после установления сессии для доступа к внутренним ресурсам или повышения привилегий требуются дополнительные действия — сам по себе обход аутентификации не даёт немедленного полного контроля над сетью, но создаёт точку входа.
Для успешной эксплуатации CVE-2026-50751 необходимо одновременное выполнение четырёх условий:
- На шлюзе включён VPN Remote Access или Mobile Access
- Для удалённого доступа используется протокол IKEv1
- Шлюз принимает подключения от устаревших клиентов удалённого доступа (legacy Remote Access clients)
- Шлюз не требует машинный сертификат для подключения
Затронутые продукты и версии
Согласно бюллетеню безопасности, уязвимость затрагивает:
- Security Gateways: R82.10 Jumbo Hotfix Take 19 и ниже, R82 Jumbo Hotfix Take 103 и ниже, R81.20 Jumbo Hotfix Take 141 и ниже, а также версии с истёкшей поддержкой — R81.10, R81, R80.40
- Spark Firewalls: R80.20.X (истёкшая поддержка), R81.10.X, R82.00.X
Отдельного внимания заслуживает то, что значительная часть уязвимых версий уже находится в статусе End of Support (EOS). Организации, использующие эти версии, не только подвержены данной уязвимости, но и лишены возможности получить официальное исправление стандартным путём.
Вторая уязвимость: CVE-2026-50752
В ходе анализа затронутых VPN-компонентов была обнаружена дополнительная уязвимость — CVE-2026-50752 (CVSS 7.4). Она потенциально позволяет проводить атаку типа «злоумышленник посередине» (adversary-in-the-middle) на межсайтовые VPN-соединения (site-to-site). По данным вендора, свидетельств эксплуатации этой уязвимости в реальных атаках на данный момент нет.
Контекст угрозы и наблюдаемая активность
По данным Check Point, первые признаки подозрительной активности были зафиксированы 4 июня 2026 года, однако ретроспективный анализ показал, что самые ранние случаи эксплуатации относятся к 7 мая 2026 года. Интенсивность атак, как сообщается, заметно возросла в текущем месяце. Масштаб кампании вендор оценивает как ограниченный — затронуто несколько десятков организаций по всему миру.
Характерной чертой наблюдаемых атак является использование VPS-инфраструктуры, геолокация которой совпадает со страной расположения целевой организации. Такой подход затрудняет обнаружение аномалий по географии подключений. После получения доступа атакующие, по данным Check Point, предпринимали попытки загрузки вредоносных ELF-файлов с контролируемой ими инфраструктуры.
Некоторые элементы наблюдаемой активности, как сообщается, пересекаются с отчётом Ctrl-Alt-Intel об использовании корпоративных VPN-устройств для первоначального доступа операторами программ-вымогателей. Однако следует отметить, что атрибуция конкретным группировкам на данном этапе основана на единичных источниках и требует осторожной интерпретации.
Оценка воздействия
Критичность CVE-2026-50751 определяется несколькими факторами. Во-первых, VPN-шлюзы по своей природе являются точками входа в корпоративную сеть — компрометация аутентификации на этом уровне потенциально открывает доступ ко всей внутренней инфраструктуре. Во-вторых, протокол IKEv1 официально считается устаревшим, но продолжает использоваться в организациях с унаследованной инфраструктурой, где миграция на IKEv2 откладывается из-за совместимости с устаревшими клиентами. В-третьих, CVSS 9.3 и подтверждённая эксплуатация в реальных атаках ставят эту уязвимость в категорию наивысшего приоритета.
Наибольшему риску подвержены организации, которые:
- Используют Check Point для удалённого VPN-доступа сотрудников
- Не мигрировали с IKEv1 на IKEv2
- Эксплуатируют версии с истёкшей поддержкой (R80.40, R81, R81.10)
- Не требуют машинные сертификаты при подключении
Рекомендации по защите
- Установите исправления немедленно. Check Point выпустил хотфиксы для поддерживаемых версий. Приоритет — максимальный, учитывая подтверждённую эксплуатацию.
- Отключите IKEv1 для удалённого доступа. Если бизнес-процессы позволяют, переведите все VPN-подключения на IKEv2. Это устраняет основной вектор атаки.
- Включите требование машинного сертификата. Это одно из четырёх условий эксплуатации — его выполнение блокирует атаку даже на непропатченных системах.
- Отключите поддержку устаревших клиентов удалённого доступа. Если устаревшие клиенты не используются, отключение их поддержки закрывает ещё одно необходимое условие.
- Проведите аудит VPN-логов. Проверьте журналы на предмет аномальных VPN-сессий начиная с мая 2026 года, особенно подключения с VPS-провайдеров и попытки загрузки ELF-файлов после установления сессии.
- Для систем с истёкшей поддержкой — планируйте экстренную миграцию на поддерживаемые версии. Временно ограничьте доступ к VPN-шлюзу по IP-адресам или отключите удалённый доступ через IKEv1.
Организациям, использующим Check Point VPN с протоколом IKEv1, следует рассматривать установку хотфиксов как задачу ближайших часов, а не дней. Параллельно необходимо проверить выполнение четырёх условий эксплуатации и устранить хотя бы одно из них на уровне конфигурации — это обеспечит защиту даже в случае задержки с патчем. Долгосрочная рекомендация — полный отказ от IKEv1 в пользу IKEv2, что исключает целый класс атак, связанных с устаревшим протоколом.
