Błąd w mechanizmie walidacji certyfikatów otworzył napastnikom drogę do sieci korporacyjnych. Luka CVE-2026-50751 o krytycznym wskaźniku CVSS 9.3 była aktywnie wykorzystywana przez cyberprzestępców, w tym podmioty powiązane z grupą ransomware Qilin – ostrzegają eksperci Check Point Research, którzy potwierdzili załatanie podatności.
Wykorzystując określone konfiguracje rozwiązań VPN (Remote Access i Mobile Access) opartych na przestarzałym protokole IKEv1, atakujący znaleźli sposób na całkowite obejście procesu uwierzytelniania. W praktyce oznacza to możliwość ustanowienia pełnoprawnej sesji VPN bez znajomości prawidłowych danych logowania. Choć uzyskanie dostępu do sieci stanowi dopiero pierwszy etap potencjalnego ataku, konsekwencje mogą obejmować kradzież danych, eskalację uprawnień czy zakłócenie działalności operacyjnej organizacji.
Globalny celownik i ślad ransomware
Śledztwo Check Point Research, rozpoczęte 4 czerwca, wskazuje na rosnącą aktywność cyberprzestępców wykorzystujących tę podatność. Dotychczas ataki miały charakter selektywny i objęły kilkadziesiąt organizacji na całym świecie. Szczególny niepokój budzi jednak fakt, że w jednym z incydentów badacze potwierdzili aktywność powiązaną z afiliantem grupy Qilin ransomware, znanej z ataków wykorzystujących model podwójnego wymuszenia – szyfrowania danych połączonego z groźbą ich publikacji.
Analiza infrastruktury wykorzystywanej przez sprawców pokazuje również, że aktywnie poszukuje ona podatności w rozwiązaniach VPN innych czołowych dostawców, takich jak Palo Alto Networks, Fortinet czy F5. Wskazuje to na szerszą, skoordynowaną kampanię wymierzoną w kluczowe elementy infrastruktury bezpieczeństwa przedsiębiorstw.
AI w służbie obrony: Podwójne uderzenie Check Point
W odpowiedzi na zagrożenie Check Point udostępnił już poprawkę bezpieczeństwa (hotfix), która eliminuje podatność i zabezpiecza podatne konfiguracje.
Firma poinformowała również, że dzięki wykorzystaniu platformy bezpieczeństwa kodu BLAST, opartej na sztucznej inteligencji, udało się zidentyfikować dodatkową lukę w rozwiązaniach end-to-end VPN, ocenioną na 7.3 w skali CVSS. Choć podatność ta nie została dotychczas wykorzystana w rzeczywistych atakach, producent zdecydował się wdrożyć odpowiednie zabezpieczenia jeszcze przed pojawieniem się prób jej eksploatacji.
Eksperci ds. cyberbezpieczeństwa podkreślają, że dalsze wykorzystywanie protokołu IKEv1 zwiększa ryzyko skutecznego ataku i może stanowić realne zagrożenie dla ciągłości działania organizacji. Zalecają oni niezwłoczne wdrożenie dostępnych poprawek oraz weryfikację konfiguracji środowisk VPN pod kątem wykorzystania starszych protokołów i mechanizmów uwierzytelniania.
