A Check Point Software Technologies figyelmeztetést adott ki egy kritikus, 9,3 CVSS pontszámú VPN hitelesítés-megkerülési sérülékenység miatt, amelyet már valós támadásokban is kihasználnak.
A sérülékenység az IKEv1-et használó Remote Access VPN környezeteket érinti, és lehetővé teheti, hogy támadók érvényes felhasználói jelszó nélkül VPN kapcsolatot hozzanak létre.
Röviden a kockázat
CVE: CVE-2026-50751
CVSS: 9.3 (Critical)
Típus: Authentication Bypass
Érintett rendszerek:
- Check Point Security Gateway
- Check Point Spark Firewall
Állapot:
🔴 Aktívan kihasználják
Lehetséges következmények:
- VPN hozzáférés megszerzése
- Belső hálózat elérése
- Jogosultságkiterjesztés
- Oldalirányú mozgás (lateral movement)
- Hitelesítő adatok ellopása
- Zsarolóvírus telepítése
Hogyan működik?
A probléma az IKEv1 VPN hitelesítés során használt tanúsítvány-ellenőrzési folyamatban található.
Bizonyos konfigurációk esetén a gateway:
- nem megfelelően ellenőrzi a tanúsítványokat,
- így a támadó képes lehet sikeres VPN kapcsolatot létrehozni,
- miközben nem rendelkezik érvényes felhasználói jelszóval.
Ez nem jelent automatikusan Domain Admin hozzáférést, de egy nagyon veszélyes kezdeti belépési pontot biztosít.
Mikor sebezhető a rendszer?
A támadás csak akkor működik, ha az alábbi feltételek egyszerre teljesülnek:
✅ Remote Access VPN vagy Mobile Access engedélyezett
✅ IKEv1 aktív
✅ Régi VPN kliensek csatlakozhatnak
✅ Nincs kötelező géptanúsítvány-hitelesítés
✅ Sérülékeny szoftververzió fut
Érintett verziók
Security Gateway
- R82.10 Jumbo Hotfix Take 19 vagy korábbi
- R82 Jumbo Hotfix Take 103 vagy korábbi
- R81.20 Jumbo Hotfix Take 141 vagy korábbi
- R81.10 (End of Support)
- R81 (End of Support)
- R80.40 (End of Support)
Spark Firewall
- R80.20.X (End of Support)
- R81.10.X
- R82.00.X
Ransomware kapcsolat
A Check Point vizsgálata szerint legalább egy incidens során a támadók infrastruktúrája kapcsolatba hozható volt a:
Qilin Ransomware
csoport egyik affiliate szereplőjével.
Ez arra utal, hogy a sérülékenységet nem csak kémkedési célokra használják, hanem:
- zsarolóvírusos támadásokhoz,
- adatlopáshoz,
- kettős zsarolási kampányokhoz is.
Mit láttak a kutatók?
A kompromittált VPN kapcsolat után a támadók:
- Linux ELF fájlokat töltöttek le,
- további hozzáférést próbáltak kiépíteni,
- perzisztenciát alakítottak ki,
- felderítést végeztek a hálózatban.
A kutatók szerint egyes esetekben:
- földrajzilag azonos országban lévő VPS-eket használtak,
- hogy a forgalom legitimnek tűnjön.
Tox protokoll használata
A vizsgálatok során felmerült a:
Tox
használata is.
A Tox:
- decentralizált,
- végpontok közötti titkosított,
- nincs központi szervere.
Ezért több ransomware csoport is előszeretettel alkalmazza C2-kommunikációra.
Azonnali teendők
1. Frissítés
A legfontosabb:
✅ Jumbo Hotfix telepítése
✅ támogatott verzióra frissítés
2. IKEv1 ellenőrzése
Ha lehetséges:
✅ IKEv1 kikapcsolása
✅ áttérés IKEv2-re
3. Gép tanúsítvány használata
Ahol megoldható:
✅ Machine Certificate Authentication bekapcsolása
4. VPN naplók vizsgálata
Keresendő események:
- ismeretlen VPN kapcsolatok
- sikertelen majd sikeres autentikációk
- szokatlan földrajzi helyek
- új admin fiókok
- VPN utáni privilegizált műveletek
5. Threat Hunting
Vizsgálni érdemes:
- ELF binárisok megjelenése
- ismeretlen SSH kulcsok
- váratlan root folyamatok
- VPN után induló PowerShell/Bash aktivitás
- Tox kommunikáció nyomai
Miért fontos ez?
A VPN-ek továbbra is a támadók egyik legkedveltebb célpontjai.
Az elmúlt években:
- Ivanti
- Fortinet
- Cisco
- Palo Alto Networks
- Check Point Software Technologies
eszközei ellen is többször indultak nagyszabású támadások.
A CVE-2026-50751 különösen veszélyes, mert a támadó hitelesítő adatok nélkül is képes lehet VPN kapcsolatot létrehozni, ami lényegében a vállalati hálózat első védelmi vonalát kerüli meg.
