Компанія Check Point повідомила про активну експлуатацію критичної вразливості CVE-2026-50751 (CVSS 9.3) у своїх продуктах Remote Access VPN і Mobile Access. Вразливість дає змогу неавтентифікованому зловмиснику обійти перевірку автентичності та встановити VPN-сесію без чинного пароля, використовуючи логічну помилку в процедурі валідації сертифікатів під час роботи через застарілий протокол IKEv1. За даними вендора, атаки торкнулися кількох десятків організацій по всьому світу, а найраніші сліди експлуатації датуються травнем 2026 року. Адміністраторам Check Point з увімкненим віддаленим VPN-доступом через IKEv1 необхідно негайно встановити випущені виправлення.
Технічна суть вразливості
Корінь проблеми — логічна помилка в процесі валідації сертифікатів (logic flow weakness in certificate validation). За певної конфігурації шлюза зловмисник може обійти вимоги автентифікації та встановити повноцінну VPN-сесію без пред’явлення коректного пароля. За даними Check Point, після встановлення сесії для доступу до внутрішніх ресурсів або підвищення привілеїв потрібні додаткові дії — сам по собі обхід автентифікації не надає миттєвого повного контролю над мережею, але створює точку входу.
Для успішної експлуатації CVE-2026-50751 необхідне одночасне виконання чотирьох умов:
- На шлюзі ввімкнено VPN Remote Access або Mobile Access
- Для віддаленого доступу використовується протокол IKEv1
- Шлюз приймає підключення від застарілих клієнтів віддаленого доступу (legacy Remote Access clients)
- Шлюз не вимагає машинний сертифікат для підключення
Уражені продукти та версії
Відповідно до бюлетеня безпеки, вразливість зачіпає:
- Security Gateways: R82.10 Jumbo Hotfix Take 19 і нижче, R82 Jumbo Hotfix Take 103 і нижче, R81.20 Jumbo Hotfix Take 141 і нижче, а також версії з завершеною підтримкою — R81.10, R81, R80.40
- Spark Firewalls: R80.20.X (завершена підтримка), R81.10.X, R82.00.X
Окремої уваги заслуговує те, що значна частина вразливих версій уже має статус End of Support (EOS). Організації, які використовують ці версії, не лише піддаються цій вразливості, але й позбавлені можливості отримати офіційне виправлення стандартним шляхом.
Друга вразливість: CVE-2026-50752
Під час аналізу задіяних VPN-компонентів була виявлена додаткова вразливість — CVE-2026-50752 (CVSS 7.4). Вона потенційно дає змогу проводити атаку типу «зловмисник посередині» (adversary-in-the-middle) на міжсайтові VPN-з’єднання (site-to-site). За даними вендора, свідчень експлуатації цієї вразливості в реальних атаках наразі немає.
Контекст загрози та зафіксована активність
За даними Check Point, перші ознаки підозрілої активності були зафіксовані 4 червня 2026 року, однак ретроспективний аналіз показав, що найраніші випадки експлуатації відносяться до 7 травня 2026 року. Інтенсивність атак, як повідомляється, помітно зросла в поточному місяці. Масштаб кампанії вендор оцінює як обмежений — зачеплено кілька десятків організацій по всьому світу.
Характерною рисою зафіксованих атак є використання VPS-інфраструктури, геолокація якої збігається з країною розташування цільової організації. Такий підхід ускладнює виявлення аномалій за географією підключень. Після отримання доступу атакувальники, за даними Check Point, здійснювали спроби завантаження шкідливих ELF-файлів з інфраструктури, яку вони контролюють.
Деякі елементи спостережуваної активності, як повідомляється, перегукуються зі звітом Ctrl-Alt-Intel щодо використання корпоративних VPN-пристроїв для початкового доступу операторами програм-вимагачів. Водночас варто зауважити, що атрибуція до конкретних угруповань на цьому етапі ґрунтується на поодиноких джерелах і потребує обережної інтерпретації.
Оцінка впливу
Критичність CVE-2026-50751 визначається кількома чинниками. По-перше, VPN-шлюзи за своєю природою є точками входу до корпоративної мережі — компрометація автентифікації на цьому рівні потенційно відкриває доступ до всієї внутрішньої інфраструктури. По-друге, протокол IKEv1 офіційно вважається застарілим, але продовжує використовуватися в організаціях з успадкованою інфраструктурою, де міграцію на IKEv2 відкладають через вимоги сумісності із застарілими клієнтами. По-третє, CVSS 9.3 і підтверджена експлуатація в реальних атаках відносять цю вразливість до категорії найвищого пріоритету.
Найбільшому ризику піддаються організації, які:
- Використовують Check Point для віддаленого VPN-доступу співробітників
- Не мігрували з IKEv1 на IKEv2
- Експлуатують версії із завершеним терміном підтримки (R80.40, R81, R81.10)
- Не вимагають машинні сертифікати під час підключення
Рекомендації щодо захисту
- Встановіть виправлення негайно. Check Point випустив хотфікси для підтримуваних версій. Пріоритет — максимальний, з огляду на підтверджену експлуатацію.
- Вимкніть IKEv1 для віддаленого доступу. Якщо бізнес-процеси це дозволяють, переведіть усі VPN-підключення на IKEv2. Це усуває основний вектор атаки.
- Увімкніть вимогу машинного сертифіката. Це одна з чотирьох умов експлуатації — її виконання блокує атаку навіть на непатчених системах.
- Вимкніть підтримку застарілих клієнтів віддаленого доступу. Якщо застарілі клієнти не використовуються, відключення їхньої підтримки закриває ще одну необхідну умову.
- Проведіть аудит VPN-логів. Перевірте журнали на предмет аномальних VPN-сесій, починаючи з травня 2026 року, особливо підключення з VPS-провайдерів та спроби завантаження ELF-файлів після встановлення сесії.
- Для систем із завершеною підтримкою — плануйте екстрену міграцію на підтримувані версії. Тимчасово обмежте доступ до VPN-шлюза за IP-адресами або вимкніть віддалений доступ через IKEv1.
Організаціям, що використовують Check Point VPN із протоколом IKEv1, варто розглядати встановлення хотфіксів як завдання найближчих годин, а не днів. Паралельно необхідно перевірити виконання чотирьох умов експлуатації та усунути принаймні одну з них на рівні конфігурації — це забезпечить захист навіть у разі затримки з патчем. Довгострокова рекомендація — повна відмова від IKEv1 на користь IKEv2, що усуває цілий клас атак, пов’язаних із застарілим протоколом.
