Репортаж от Wedoany，Компания Check Point сообщила, что уязвимость обхода аутентификации CVE-2026-50751 активно используется операторами программы-вымогателя Qilin. Данная уязвимость затрагивает функции удаленного доступа и мобильного доступа Check Point VPN. При настройке системы на использование устаревшего протокола обмена ключами IKEv1 удаленный неаутентифицированный злоумышленник может обойти аутентификацию пользователя и установить VPN-соединение без необходимости ввода действительного пароля. Уязвимость также затрагивает управляемые искусственным интеллектом брандмауэры Spark от Check Point, предназначенные для малого и среднего бизнеса, а также поставщиков управляемых услуг.

Check Point впервые заметила подозрительную активность 4 июня 2026 года, однако первая известная атака датируется началом мая 2026 года. На данный момент по всему миру пострадали десятки целевых организаций, причем в одном из случаев была подтверждена постинтрузивная активность, связанная с операторами программы-вымогателя Qilin. Атаки, предположительно, имеют экономическую мотивацию: злоумышленники используют протокол Tox для связи и похищают данные с помощью открытого программного обеспечения Rclone (подтверждено на основе одного из общих файловых хешей). Злоумышленники используют специализированную инфраструктуру виртуальных частных серверов (VPS), IP-адреса которых размещены у провайдеров Kaupo Cloud HK, Shock Hosting и Vultr Holdings. В некоторых случаях географическое положение пострадавшей организации коррелировало с местоположением используемого VPS. Предполагается, что этот субъект также использует другие уязвимости, связанные с VPN, включая уязвимости, опубликованные компаниями Palo Alto, Fortinet и F5. Check Point отмечает рост попыток эксплуатации CVE-2026-50751 в начале июня.

Check Point опубликовала индикаторы компрометации и рекомендует группам реагирования на инциденты провести судебно-медицинский аудит журналов и проверку конфигурации, начиная с самой ранней даты эксплуатации (7 мая 2026 года). Меры по смягчению последствий включают: обеспечение того, чтобы развертывания не были настроены на использование устаревшего протокола IKEv1, удаление поддержки подключений устаревших клиентов удаленного доступа, а также требование предоставления сертификата машины от шлюза для установления соединения.

Данный материал скомпилирован платформой Wedoany. При цитировании материалов, созданных с помощью искусственного интеллекта (ИИ), необходимо обязательно указывать источник — «Wedoany». В случае выявления нарушения прав или иных проблем просим своевременно информировать нас. Сайт оперативно внесёт изменения или удалит материал.Электронная почта: news@wedoany.com