Lỗ hổng CVE-2026-50751, một lỗ hổng bypass xác thực nghiêm trọng (CVSS 9.3), đang bị khai thác tích cực. Lỗ hổng này tồn tại trong các sản phẩm VPN Truy cập Từ xa (Remote Access VPN) và VPN Truy cập Di động (Mobile Access) của Check Point. Hoạt động độc hại sau khi xâm nhập đã được xác nhận liên quan đến nhóm ransomware Qilin.
Chi tiết Lỗ hổng CVE-2026-50751
CVE-2026-50751 nhắm vào các triển khai được cấu hình sử dụng giao thức trao đổi khóa IKEv1 đã lỗi thời. Thông qua việc khai thác một lỗ hổng logic trong quá trình xác thực chứng chỉ, kẻ tấn công từ xa không được xác thực có thể thiết lập một phiên VPN mà không cần mật khẩu người dùng hợp lệ, từ đó vượt qua mọi yêu cầu xác thực.
Phạm vi ảnh hưởng
Lỗ hổng này ảnh hưởng đến các sản phẩm Mobile Access / SSL VPN, Remote Access VPN và Spark Firewall thuộc các phiên bản từ R80.20.X đến R82.10. Mặc dù truy cập ban đầu được thực hiện thông qua việc bypass, các bước bổ sung sau xác thực là cần thiết để truy cập tài nguyên nội bộ hoặc leo thang đặc quyền.
Dấu vết Khai thác
Nghiên cứu về lỗ hổng CVE-2026-50751 bắt đầu từ ngày 4 tháng 6 năm 2026, sau khi phát hiện các dấu hiệu hoạt động đáng ngờ. Các nỗ lực khai thác đã được truy ngược về ngày 7 tháng 5 năm 2026. Các cuộc tấn công gia tăng mạnh vào đầu tháng 6 năm 2026, nhắm vào hàng chục tổ chức trên toàn cầu.
Các đội ứng cứu sự cố cần ưu tiên kiểm tra nhật ký (log audits) và xem xét cấu hình hệ thống bắt đầu từ ngày khai thác sớm nhất được quan sát.
Mối đe dọa Liên quan và Cơ sở hạ tầng
Kẻ tấn công được đánh giá có động cơ tài chính, sử dụng các tệp thực thi của ransomware Qilin Linux và cố gắng tải xuống các tệp ELF độc hại từ cơ sở hạ tầng do kẻ tấn công kiểm soát. Dữ liệu có được cho thấy một mối đe dọa mạng nghiêm trọng đang hoạt động.
Giao thức và Hoạt động của Kẻ tấn công
Kẻ tấn công có khả năng sử dụng giao thức Tox cho việc liên lạc lệnh và điều khiển (Command-and-Control), một phương thức phổ biến đối với các toán tử ransomware. Đồng thời, chúng được cho là đang khai thác đồng thời các lỗ hổng VPN được công bố bởi Palo Alto, Fortinet và F5.
Cơ sở hạ tầng Tấn công
Cơ sở hạ tầng của kẻ tấn công được lưu trữ trên Kaupo Cloud HK, Shock Hosting và Vultr Holdings. Vị trí địa lý của VPS thường tương quan với vị trí địa lý của nạn nhân trong nhiều trường hợp.
Lỗ hổng Liên quan: CVE-2026-50752
Trong quá trình điều tra CVE-2026-50751, nền tảng AI của Check Point đã xác định một lỗ hổng liên quan: CVE-2026-50752 (CVSS 7.4). Lỗ hổng này ảnh hưởng đến quá trình xác thực chứng chỉ trong giao thức trao đổi khóa IKEv1 đã lỗi thời.
Tác động của CVE-2026-50752
CVE-2026-50752 có thể cho phép sự can thiệp kiểu Man-in-the-Middle (MitM) vào các giao tiếp VPN Site-to-Site trong các điều kiện nhất định. Mặc dù chưa quan sát thấy việc khai thác tích cực, khách hàng được khuyến khích áp dụng các bản cập nhật một cách chủ động để phòng ngừa.
Các Chỉ số Xâm nhập (IOC)
Địa chỉ IP Độc hại
(Thông tin này thường được cung cấp chi tiết trong báo cáo gốc, không có trong dữ liệu đầu vào.)
Tệp Băm (MD5)
(Thông tin này thường được cung cấp chi tiết trong báo cáo gốc, không có trong dữ liệu đầu vào.)
Khuyến nghị Bảo mật
Check Point khuyến cáo mạnh mẽ tất cả khách hàng đang sử dụng các phiên bản bị ảnh hưởng của sản phẩm thực hiện ngay việc áp dụng bản vá nóng (hotfix) được phát hành cho Security Gateways của họ. Các tổ chức không thể vá lỗi ngay lập tức nên thực hiện các bước tạm thời sau:
- Ưu tiên cập nhật bản vá bảo mật cho các thiết bị VPN.
- Kiểm tra nhật ký hệ thống để phát hiện các hoạt động bất thường.
- Xem xét lại cấu hình xác thực chứng chỉ, đặc biệt là với IKEv1.
Việc kịp thời áp dụng các bản vá lỗi là rất quan trọng để bảo vệ hệ thống khỏi các mối đe dọa đang diễn ra.
Để biết thêm thông tin chi tiết về các lỗ hổng này, vui lòng tham khảo thông báo chính thức từ Check Point: Check Point Releases Important Hotfix for Vulnerabilities in Deprecated IKEv1 VPN Protocol.
