CISA đã bổ sung một lỗ hổng nghiêm trọng trong Check Point Security Gateway vào danh mục Các lỗ hổng đã khai thác đã biết (KEV), cảnh báo rằng các tác nhân đe dọa đang tích cực khai thác lỗ hổng này trong các chiến dịch ransomware. Lỗ hổng này, được theo dõi là CVE-2026-50751, cho phép kẻ tấn công từ xa không cần xác thực có thể bỏ qua cơ chế xác thực người dùng và thiết lập các kết nối VPN trái phép, gây ra rủi ro nghiêm trọng cho các mạng doanh nghiệp trên toàn thế giới.
Chi tiết Lỗ hổng CVE-2026-50751
Mô tả Lỗ hổng
CVE-2026-50751 là một lỗ hổng xác thực không đúng (CWE-287) nằm trong giao thức trao đổi khóa IKEv1 (Internet Key Exchange version 1) được triển khai trong Check Point Security Gateway. Lỗ hổng này cho phép kẻ tấn công từ xa không cần xác thực có thể bỏ qua các cơ chế xác thực người dùng tiêu chuẩn và thiết lập một đường hầm VPN truy cập từ xa mà không cần cung cấp mật khẩu người dùng hợp lệ.
IKEv1 là một giao thức đã lỗi thời, được sử dụng để đàm phán và thiết lập các phiên VPN IPsec. Mặc dù có tình trạng cũ, nhiều tổ chức vẫn tiếp tục sử dụng nó trong môi trường sản xuất, tạo ra một rủi ro bảo mật mà các tác nhân đe dọa hiện đang vũ khí hóa.
Ảnh hưởng Hệ thống
Việc khai thác thành công cho phép kẻ tấn công có một điểm đặt chân trực tiếp vào bên trong chu vi mạng mục tiêu, vô hiệu hóa hiệu quả vai trò của gateway như một ranh giới bảo mật. Điều này cho phép kẻ tấn công thực hiện các hành vi xâm nhập trái phép.
Lỗ hổng này ảnh hưởng đến các sản phẩm Check Point Security Gateway đang chạy giao thức IKEv1 cho VPN truy cập từ xa. Các tổ chức sử dụng các gateway này với IKEv1 được bật đều có nguy cơ trực tiếp.
Tác động của việc Khai thác
Một kẻ tấn công khai thác lỗ hổng này có thể:
- Thiết lập kết nối VPN trái phép mà không cần thông tin xác thực.
- Truy cập vào mạng nội bộ.
- Thực hiện các hành vi tiếp theo như di chuyển ngang, exfiltration dữ liệu, hoặc triển khai mã độc.
Khai thác và Cảnh báo từ CISA
Đưa vào Danh mục KEV
CISA đã đưa CVE-2026-50751 vào danh mục KEV vào ngày 8 tháng 6 năm 2026, với thời hạn khắc phục bắt buộc là ngày 11 tháng 6 năm 2026, đối với tất cả các cơ quan hành pháp liên bang (FCEB) của Hoa Kỳ.
Quan trọng hơn, CISA đã xác nhận lỗ hổng này được biết là đang được sử dụng trong các chiến dịch ransomware, làm tăng tính cấp bách cho tất cả các tổ chức, không chỉ các cơ quan liên bang, cần hành động ngay lập tức. Khả năng âm thầm xác thực vào VPN mà không cần thông tin xác thực khiến lỗ hổng này đặc biệt nguy hiểm như một vector truy cập ban đầu. Các nhà điều hành ransomware thường xuyên nhắm mục tiêu vào các gateway VPN làm điểm truy cập, cho phép di chuyển ngang, exfiltration dữ liệu và cuối cùng là triển khai payload trên các mạng bị xâm nhập.
Theo dõi các bản cập nhật bảo mật và cảnh báo CVE mới nhất là rất quan trọng để duy trì an toàn mạng.
Mã Khai thác (Exploit)
Mặc dù không có mã khai thác cụ thể nào được cung cấp trong nội dung gốc, bản chất của lỗ hổng (bỏ qua xác thực qua IKEv1) cho thấy một kẻ tấn công có thể xây dựng các công cụ để:
- Gửi các gói IKEv1 được tạo đặc biệt để bắt đầu phiên trao đổi khóa.
- Khai thác lỗ hổng trong quá trình xử lý để bỏ qua yêu cầu xác thực.
- Thiết lập một tunnel VPN hợp lệ từ góc nhìn của hệ thống, cho phép truy cập mạng.
Việc tìm kiếm các lỗ hổng zero-day và cách chúng bị khai thác là một phần quan trọng của nghiên cứu bảo mật.
Các bước Khắc phục và Khuyến nghị
Bản vá và Cập nhật
Check Point đã phát hành một bản vá lỗi chính thức giải quyết lỗ hổng trong các triển khai giao thức VPN IKEv1 đã lỗi thời. CISA khuyến nghị các tổ chức thực hiện các bước sau ngay lập tức:
- Áp dụng bản vá lỗi khẩn cấp (hotfix) do Check Point cung cấp cho các sản phẩm bị ảnh hưởng.
- Nếu không thể áp dụng bản vá ngay lập tức, hãy vô hiệu hóa hỗ trợ IKEv1 trên các Check Point Security Gateway bị ảnh hưởng.
- Xem xét nâng cấp lên các phiên bản giao thức VPN hiện đại và an toàn hơn.
Giám sát và Kiểm tra
Các tổ chức cũng nên kiểm tra nhật ký xác thực VPN để tìm các nỗ lực kết nối bất thường không có sự kiện thông tin xác thực hợp lệ tương ứng, đây có thể là một chỉ báo tiềm năng về việc bị khai thác trước đó.
Việc cập nhật bản vá kịp thời là biện pháp phòng ngừa cơ bản nhất để bảo vệ hệ thống khỏi các cuộc tấn công mạng.
Tầm Quan Trọng của Việc Khắc phục
Bản vá này nên được coi là ưu tiên hàng đầu và việc triển khai bản vá lỗi trên tất cả các instance gateway phải được xác minh trước thời hạn do CISA quy định. Việc hỗ trợ các giao thức cũ trong các sản phẩm bảo mật doanh nghiệp luôn tiềm ẩn nguy cơ bảo mật.
Các cổng VPN là mục tiêu có giá trị cao vì việc xâm phạm chúng cho phép kẻ tấn công có quyền truy cập mạng được xác thực.
Nghiên cứu về các mối đe dọa mạng và cách thức hoạt động của chúng là cần thiết để xây dựng các biện pháp phòng thủ hiệu quả.
Để biết thêm thông tin chi tiết về các lỗ hổng đã biết và đang bị khai thác, hãy tham khảo danh mục Known Exploited Vulnerabilities (KEV) của CISA.
