Партнёр программы-вымогателя Qilin использовал уязвимость нулевого дня в VPN Check Point в течение месяца до появления патча.

      TL;DRCheck Point исправила критическую уязвимость нулевого дня в VPN (CVE-2026-50751), эксплуатируемую с 7 мая аффилированной группой-вымогателем Qilin, нацелившейся на десятки организаций.

      Check Point раскрыла и исправила критическую уязвимость нулевого дня в своих продуктах Remote Access VPN и Mobile Access, которую аффилированная группа-вымогатель Qilin эксплуатировала примерно месяц до появления исправления. Уязвимость, отслеживаемая как CVE-2026-50751 с оценкой CVSS 9.3, позволяет неаутентифицированному злоумышленнику полностью обойти аутентификацию по паролю и установить VPN-сессию, используя логическую ошибку в проверке сертификатов.

      Уязвимость затрагивает развертывания VPN, настроенные на использование IKEv1, устаревшего протокола обмена ключами, который Check Point все еще поддерживает для устаревших клиентов удаленного доступа. Компания сообщила в своем уведомлении о безопасности, опубликованном в воскресенье, что впервые обнаружила подозрительную активность 4 июня, но самая ранняя подтвержденная эксплуатация датируется 7 мая. Атаки значительно увеличились в этом месяце.

      Check Point описала масштаб как ограниченный «несколькими десятками целевых организаций по всему миру». В как минимум одном случае постэксплуатационная активность была связана с аффилированной группой-вымогателем Qilin, финансово мотивированной группой, которая все больше полагается на корпоративные VPN-устройства как на предпочитаемый вектор первоначального доступа. Check Point сообщила, что злоумышленники, похоже, эксплуатируют уязвимости VPN от нескольких поставщиков, включая Palo Alto Networks, Fortinet и F5.

      «Мы считаем, что инфраструктура этого угрозного актора эксплуатирует другие уязвимости, связанные с VPN, такие как те, что были опубликованы Palo Alto, Fortinet и F5», — отметила Check Point. Компания также выявила индикаторы того, что актер может использовать протокол Tox для связи, что является распространенной схемой, ассоциирующейся с операторами-вымогателями. Злоумышленники использовали виртуальные частные серверы, геолокализованные в той же стране, что и их цели, для проведения вторжений, а затем пытались загрузить вредоносные ELF-файлы с инфраструктуры, контролируемой актором.

      Полученные данные соответствуют более широкой схеме эксплуатации нулевых дней, которая ускорилась в 2026 году. Группа Threat Intelligence Google задокументировала в прошлом месяце, как преступные и спонсируемые государством актеры масштабируют использование ранее неизвестных уязвимостей, при этом VPN-устройства и устройства сетевого края постоянно находятся среди наиболее целевых категорий. Межсетевые экраны, VPN и другие устройства на краю сети обычно не предоставляют достаточной телеметрии для обнаружения или остановки этих атак, создавая то, что исследователи называют отраслевым разрывом видимости.

      Успешная эксплуатация CVE-2026-50751 требует одновременного выполнения четырех условий: должен быть включен Remote Access VPN или Mobile Access, IKEv1 должен быть активен для удаленного доступа, шлюз должен принимать устаревших клиентов удаленного доступа и не должен требовать машинный сертификат для соединений. Check Point сообщила, что для доступа к внутренним ресурсам или повышения привилегий требуется дополнительная постаутентификационная активность, что означает, что одна только VPN-сессия не предоставляет полного доступа к сети.

      Затронутые продукты включают Security Gateways с несколькими версиями прошивки, от R82.10 до устаревших версий R81, R81.10 и R80.40, а также межсетевые экраны Spark на R80.20.X, R81.10.X и R82.00.X. Spark — это линейка продуктов Check Point для малых и средних предприятий, что означает, что уязвимость распространяется не только на крупные корпоративные развертывания, но и на организации с меньшими ресурсами для быстрого исправления.

      Расследование Check Point также выявило вторую уязвимость, CVE-2026-50752, с оценкой CVSS 7.4, которая может позволить атаку «злоумышленник посередине» на соединения site-to-site VPN, использующие тот же устаревший протокол IKEv1. Нет никаких доказательств того, что CVE-2026-50752 была эксплуатирована в дикой природе. Обе уязвимости устранены в хотфиксе, который Check Point выпустила вместе с раскрытием.

      Группа-вымогатель Qilin, также известная как Agenda, была одной из более активных финансово мотивированных угроз в 2026 году. Отчет Ctrl-Alt-Intel, опубликованный в прошлом месяце, задокументировал систематическое злоупотребление группой корпоративными VPN-устройствами, в частности устройствами WatchGuard и Fortinet, для первоначального доступа, развертывая фреймворк командования и управления Sliver, прежде чем в конечном итоге внедрить бинарные файлы-вымогатели, нацеленные на Linux, ESXi и Nutanix. Нулевой день Check Point, похоже, является последним дополнением к этому плейбуку.