
Check Point VPN 漏洞被利用绕过 IKEv1 密码验证
Check Point 警告称,影响采用已弃用 IKEv1 的 Remote Access VPN 和 Mobile Access 部署的高危漏洞 CVE-2026-50751 已被主动利用。攻击者可在未持有有效密码的情况下绕过认证建立 VPN 连接,受影响产品需尽快修复;另有 CVE-2026-50752 可能导致站点到站点连接遭遇中间人攻击。
Check Point 警告称,一个影响配置为使用已弃用 IKEv1 密钥交换协议的 Remote Access VPN 和 Mobile Access 部署的高危漏洞正在被主动利用。
该漏洞被追踪为 CVE-2026-50751(CVSS 评分:9.3),属于证书验证中的逻辑流程缺陷,可让未经身份验证的远程攻击者绕过用户认证,并在没有有效用户密码的情况下建立远程访问 VPN 连接。
Check Point 表示:“通过利用证书验证中的逻辑缺陷,攻击者无需持有有效密码即可建立 VPN 会话,从而实际上绕过认证要求。若要访问内部资源或提升权限,还需要额外的认证后活动。”
该缺陷影响以下产品和版本 -
Security Gateways R82.10 Jumbo Hotfix Take 19 或更早,R82 Jumbo Hotfix Take 103 或更早,R81.20 Jumbo Hotfix Take 141 或更早,R81.10(EOS)、R81(EOS)以及 R80.40(EOS)
Spark Firewalls:R80.20.X(EOS)、R81.10.X 和 R82.00.X
成功利用需要满足以下条件 -
启用了 VPN Remote Access 或 Mobile Access
远程访问启用了 IKEv1
网关接受旧版 Remote Access 客户端
网关不要求连接使用机器证书
这家以色列网络安全公司表示,其最早在 2026 年 6 月 4 日观察到可疑活动迹象,最早的利用时间可追溯到 2026 年 5 月 7 日。据信,利用活动自本月起有所增加。
Check Point 补充说,此次利用活动仅限于“全球少数几十个有针对性的组织”。在其中一个案例中,利用后的阶段与一个 Qilin 勒索软件关联方有关。
“我们认为,这个威胁行为者基础设施也在利用其他与 VPN 相关的漏洞,例如 Palo Alto [Networks]、Fortinet 和 F5 发布的漏洞,”其指出。“我们识别到的指标表明,该行为者可能使用 Tox 协议进行通信,这是一种常见于以经济利益为动机的勒索软件行为者的模式。”
这些攻击的一个关键特征是使用虚拟专用服务器(VPS)基础设施实施。具体而言,攻击者依赖地理位置显示为某个国家的 VPS 服务器,针对该国境内的组织。建立访问后,攻击者被发现尝试从由其控制的基础设施下载恶意 ELF 文件。
这些行动的部分内容与 Ctrl-Alt-Intel 上个月的一份报告有重叠,该报告强调了该勒索软件团伙滥用企业 VPN 设备作为初始访问入口。
Check Point Research 通过电子邮件告诉 The Hacker News:“据我们截至目前的最佳了解,没有迹象表明该漏洞已被其他威胁行为者广泛获取。该活动显然具有机会主义特征,目标是有漏洞的组织,而非某个特定对象。”
对受影响 VPN 组件的进一步审查还发现了第二个漏洞 CVE-2026-50752(CVSS 评分:7.40),它可能允许对 VPN 站点到站点连接发起中间人(AitM)攻击。目前没有证据表明该缺陷已在真实攻击中被利用。
更新
美国网络安全和基础设施安全局(CISA)于 2026 年 6 月 8 日将 CVE-2026-50751 加入其已知被利用漏洞(KEV)目录,并要求联邦民事行政部门(FCEB)机构在 2026 年 6 月 11 日前完成修复。
在 watchTowr Labs 研究员 McCaulay Hudson 于 2026 年 6 月 12 日发布的后续分析中,他表示,该漏洞允许连接客户端在 IKEv1 协商期间通过自定义 VPNExtFeatures Vendor ID 载荷操纵认证标志,进而升级为完全的认证绕过。
Hudson 说:“存在漏洞的 iked 会跳过 verify_peer_auth/verifyMessagePhase1(它读取来自 VPNExtFeatures Vendor ID 的攻击者可控标志,位 0x4),因此既不会检查证书签名(持有证明),也不会检查其信任链——只会检查 subject DN [Distinguished Name] 是否解析到一个已配置的用户。”
“我们伪造了一个自签名证书,其 subject 为 CN=<username>,OU=<ou>,O=<ICA-O>(ICA 组织是网关自身的组织,会从其公开 TLS 证书自动推导),并以无效签名将其呈现。若 phase-1 被接受,就意味着网关已经将我们认证为该用户(它会把 ISAKMP SA 以该用户的 DN 存储),而无需私钥和密码。”
(本报道在发布后更新,加入了 Check Point Research 的回应以及 CISA 将该漏洞加入 KEV 目录的信息。)