Check Point VPN 零日漏洞 CVE-2026-50751 在野利用分析
近期,Check Point VPN 产品中发现了一个关键的身份验证绕过漏洞,编号为 CVE-2026-50751。该漏洞的 CVSS 评分高达 9.3,并且已确认在野利用,主要影响配置为使用已弃用 IKEv1 密钥交换协议的 Check Point Remote Access VPN、Mobile Access 和 Spark Firewall 产品。攻击者通过利用证书验证中的逻辑缺陷,无需有效用户密码即可建立远程访问 VPN 连接,从而绕过身份验证机制。尽管成功利用后仍需额外的后身份验证活动才能访问内部资源或提升权限,但其对企业网络边界构成了直接且严重的威胁。
漏洞概述与技术细节
CVE-2026-50751 的根本原因在于 Check Point Remote Access 和 Mobile Access 组件在 IKEv1 密钥交换期间验证证书的方式存在逻辑缺陷。具体而言,当以下所有条件均满足时,系统将易受攻击:
- VPN Remote Access 或 Mobile Access 功能已启用。
- IKEv1 已为远程访问启用。
- 网关接受旧版远程访问客户端。
- 网关不要求机器证书进行连接。
利用此漏洞,未经身份验证的远程攻击者能够成功建立 VPN 会话,从而绕过正常的身份验证流程。Check Point 于 2026 年 6 月 8 日发布了安全通告,确认该漏洞已被积极利用,最早的攻击活动可追溯到 2026 年 5 月 7 日,并在 6 月初显著增加。
此次调查中,Check Point Research 还发现了另一个相关漏洞 CVE-2026-50752 (CVSS 7.4),该漏洞也存在于相同的 IKEv1 代码路径中,可能在特定配置下导致针对站点到站点 VPN 隧道进行中间人攻击。然而,目前尚未观察到 CVE-2026-50752 的在野利用。
在野利用分析
Check Point 确认,与 Qilin 勒索软件团伙相关的攻击者已经利用 CVE-2026-50751。这些攻击活动影响了全球数十个目标组织,且攻击范围有限。攻击者利用专用的虚拟私人服务器 (VPS) 基础设施进行攻击,观察到的基础设施包括 Kaupo Cloud HK、Shock Hosting 和 Vultr Holdings 提供的 IP 地址。值得注意的是,在某些情况下,VPS 的地理位置与受害组织的地理位置相符。
攻击者的 TTPs (MITRE ATT&CK 技术) 包括:
- T1078 - 有效账户 (初始访问)
- T1190 - 利用面向公众的应用程序 (初始访问)
- T1041 - 通过命令和控制通道进行数据渗漏 (数据渗漏)
在成功绕过身份验证后,攻击者会尝试从受控服务器检索 ELF 载荷,并且根据二进制分析,这些活动与 Qilin 勒索软件操作相关联。有证据表明,攻击者可能使用 Tox 协议进行通信,这是一种通常与经济动机勒索软件攻击者相关的模式。
对于组织而言,识别互联网上暴露的 Check Point VPN 服务至关重要。使用如 Zondex 这样的服务发现工具可以帮助企业识别其面向互联网的资产,从而发现潜在的易受攻击点。
受影响版本与缓解措施
受 CVE-2026-50751 影响的产品和版本如下表所示:
| 产品类型 | 受影响版本 | 备注 |
|---|---|---|
| Security Gateways | R80.20.X (EOS) | 已终止支持 |
| Security Gateways | R80.40 (EOS) | 已终止支持 |
| Security Gateways | R81 (EOS) | 已终止支持 |
| Security Gateways | R81.10 (EOS) | 已终止支持 |
| Security Gateways | R81.10.X (Jumbo Hotfix Take 19 或更低) | |
| Security Gateways | R81.20 (Jumbo Hotfix Take 141 或更低) | |
| Security Gateways | R82 (Jumbo Hotfix Take 103 或更低) | |
| Security Gateways | R82.00.X | |
| Security Gateways | R82.10 (Jumbo Hotfix Take 19 或更低) | |
| Spark Firewall | R80.20.X (EOS) | 已终止支持 |
| Spark Firewall | R81.10.X | |
| Spark Firewall | R82.00.X |
Check Point 已发布热修复程序以解决 CVE-2026-50751。强烈建议受影响的组织立即应用这些更新。对于无法立即修补的系统,Check Point 提供了以下临时缓解措施:
-
选项 1: 移除对旧版远程访问客户端连接的支持。
在 SmartConsole 中,打开 Security Gateway 对象属性。导航至 VPN Clients > Authentication。取消勾选 “Allow older clients to connect to this gateway” 复选框。在 “Multiple Authentication Clients Settings” 部分定义所需的身份验证方法。点击 “OK” 并安装安全策略。 注意: 此更改将阻止某些客户端 (如 StrongSWAN、LT2P 和在旧版系统上运行的旧客户端) 进行连接。
-
选项 2: 将远程访问 VPN 身份验证的全局属性配置为仅使用 IKEv2。
在 SmartConsole 中,点击菜单图标并选择 “Global properties”。导航至 Remote Access > VPN Authentication。在 “Encryption method” 中,勾选 “IKEv2 only” 复选框。点击 “OK” 并安装安全策略。
-
选项 3: 设置强制机器证书身份验证。
在 SmartConsole 中,打开 Security Gateway 对象属性。导航至 VPN Clients > Authentication。
-
启用 IPS 并下载最新的签名。
确保启用了入侵防御系统 (IPS) 并下载了最新的安全签名。
为了全面评估暴露风险,组织应考虑使用 Secably 等漏洞扫描工具,以识别其网络中是否存在易受攻击的 Check Point VPN 实例,并验证补丁或缓解措施是否已正确应用。持续的漏洞管理和定期安全审计对于应对此类零日威胁至关重要。
妥协指标 (IoCs)
Check Point 已发布与 CVE-2026-50751 利用活动相关的妥协指标,以协助组织进行威胁狩猎和事件响应。安全团队应优先从 2026 年 5 月 7 日 (最早观察到的利用日期) 开始,进行取证日志审计和配置审查。
已识别的攻击者基础设施 IP 地址包括:
45.77.149[.]152209.182.225[.]13638.60.157[.]139162.33.177[.]10145.76.26[.]42144.208.127[.]15538.54.88[.]20138.54.107[.]16766.42.99[.]200
相关文件哈希 (MD5) 包括:
52fda5c1b9704544f32ee98d9060e68951d39aa39478beeac94f2d12f682ecce
在日志中搜索 VPN / IKE 相关活动,特别是 “Key Install” 事件,因为成功的利用需要 Quick mode key install。以下是一个可能的日志查询示例:
action:"Key Install" AND Quick AND (src:45.77.149.152 OR dst:45.77.149.152 OR src:209.182.225.136 OR dst:209.182.225.136 OR src:38.60.157.139 OR dst:38.60.157.139 OR src:162.33.177.101 OR dst:162.33.177.101 OR src:45.76.26.42 OR dst:45.76.26.42 OR src:144.208.127.155 OR dst:144.208.127.155 OR src:38.54.88.201 OR dst:38.54.88.201 OR dst:38.54.107.167 OR dst:66.42.99.200)考虑到攻击者利用地理位置匹配的 VPS 基础设施,对于跨国运营的组织,应特别关注与其业务区域相关的可疑 IP 地址。对于需要匿名进行威胁情报研究或流量路由的分析师,GProxy 这类代理服务可用于避免暴露自身网络足迹。