Аффилированный с программой-вымогателем Qilin использовал нулевой день уязвимости VPN Check Point в течение месяца до появления патча.

      TL;DRCheck Point устранил критическую уязвимость нулевого дня в VPN (CVE-2026-50751), которая использовалась с 7 мая аффилированной группой-вымогателем Qilin, нацелившейся на десятки организаций.

      Check Point раскрыла и устранила критическую уязвимость нулевого дня в своих продуктах Remote Access VPN и Mobile Access, которую аффилированная группа-вымогатель Qilin использовала примерно в течение месяца до появления исправления. Уязвимость, отслеживаемая как CVE-2026-50751 с оценкой CVSS 9.3, позволяет неаутентифицированному злоумышленнику полностью обойти аутентификацию по паролю и установить VPN-сессию, используя логическую ошибку в проверке сертификатов.

      Уязвимость затрагивает развертывания VPN, настроенные на использование IKEv1, устаревшего протокола обмена ключами, который Check Point все еще поддерживает для устаревших клиентов удаленного доступа. Компания сообщила в своем уведомлении о безопасности, опубликованном в воскресенье, что впервые обнаружила подозрительную активность 4 июня, но самая ранняя подтвержденная эксплуатация датируется 7 мая. Атаки значительно увеличились в этом месяце.

      Check Point описала масштаб как ограниченный «несколькими десятками целевых организаций по всему миру». В как минимум одном случае постэксплуатационная активность была связана с аффилированной группой-вымогателем Qilin, финансово мотивированной группой, которая все больше полагается на корпоративные VPN-устройства как на предпочтительный вектор первоначального доступа. Check Point сообщила, что злоумышленники, похоже, используют уязвимости VPN от нескольких поставщиков, включая Palo Alto Networks, Fortinet и F5.

      «Мы считаем, что инфраструктура этого угрозы использует другие уязвимости, связанные с VPN, такие как те, которые были опубликованы Palo Alto, Fortinet и F5», — отметила Check Point. Компания также выявила индикаторы того, что злоумышленник может использовать протокол Tox для связи, что является распространенным паттерном, связанным с операторами-вымогателями. Злоумышленники использовали виртуальные частные серверы, геолокализованные в той же стране, что и их цели, для проведения вторжений, а затем пытались загрузить вредоносные ELF-файлы с инфраструктуры, контролируемой злоумышленниками.

      Полученные данные соответствуют более широкой тенденции эксплуатации нулевых дней, которая ускорилась в 2026 году. Группа Threat Intelligence Google задокументировала в прошлом месяце, как преступные и спонсируемые государством акторы увеличивают использование ранее неизвестных уязвимостей, причем VPN-устройства и устройства сетевого края постоянно находятся среди самых целевых категорий. Брандмауэры, VPN и другие устройства на краю сети, как правило, не предоставляют достаточной телеметрии для обнаружения или остановки этих атак, создавая то, что исследователи называют отраслевым разрывом в видимости.

      Успешная эксплуатация CVE-2026-50751 требует одновременного выполнения четырех условий: должен быть включен Remote Access VPN или Mobile Access, IKEv1 должен быть активен для удаленного доступа, шлюз должен принимать устаревших клиентов удаленного доступа и не должен требовать сертификат машины для соединений. Check Point сообщила, что для доступа к внутренним ресурсам или повышения привилегий требуется дополнительная постаутентификационная активность, что означает, что одна только VPN-сессия не предоставляет полного доступа к сети.

      Затронутые продукты включают Security Gateways с несколькими версиями прошивки, от R82.10 до версий, завершивших поддержку, R81, R81.10 и R80.40, а также брандмауэры Spark на R80.20.X, R81.10.X и R82.00.X. Spark — это линейка продуктов Check Point для малых и средних предприятий, что означает, что уязвимость распространяется не только на крупные корпоративные развертывания, но и на организации с меньшими ресурсами для быстрого исправления.

      Расследование Check Point также выявило вторую уязвимость, CVE-2026-50752, с оценкой CVSS 7.4, которая может позволить атаку «злоумышленник посередине» на соединения site-to-site VPN, использующие тот же устаревший протокол IKEv1. Нет никаких доказательств того, что CVE-2026-50752 была использована в дикой природе. Обе уязвимости были устранены в хотфиксе, который Check Point выпустила вместе с раскрытием.

      Группа-вымогатель Qilin, также известная как Agenda, была одной из более активных финансово мотивированных угроз в 2026 году. Отчет Ctrl-Alt-Intel, опубликованный в прошлом месяце, задокументировал систематическое злоупотребление группой корпоративными VPN-устройствами, в частности устройствами WatchGuard и Fortinet, для первоначального доступа, развертывая фреймворк командования и контроля Sliver, прежде чем в конечном итоге внедрить бинарные файлы-вымогатели, нацеленные на Linux, ESXi и Nutanix. Нулевой день Check Point, похоже, является последним дополнением к этому плану.