VAROVANIE: Kritická zraniteľnosť Check Point VPN je aktívne zneužívaná – evidované prepojenie na ransomware

Organizácie po celom svete sú vyzývané, aby okamžite preskúmali a opravili svoju infraštruktúru virtuálnych privátnych sietí (VPN) po tom, čo Check Point zverejnil kritickú zraniteľnosť aktívne zneužívanú v cielených útokoch na prostredia vzdialeného prístupu využívajúce zastaraný protokol Internet Key Exchange verzia 1 (IKEv1).

O čo ide

Zraniteľnosť sledovaná pod označením CVE-2026-50751 s CVSS skóre 9.3 umožňuje neoverenému vzdialenému útočníkovi obísť mechanizmy autentifikácie založené na heslách za špecifických podmienok nasadenia. Bezpečnostní experti varujú, že zraniteľnosť poukazuje na pretrvávajúce riziká spojené so zastaranými konfiguráciami VPN, ktoré zostávajú v prevádzke dlho po tom, čo sú k dispozícii novšie a bezpečnejšie alternatívy.

Podľa Check Pointu problém pramení z logickej chyby v procese overovania certifikátov používanom pri VPN autentifikácii. Zneužitím slabín v spôsobe overovania certifikátov môžu útočníci nadviazať vzdialené VPN relácie bez toho, aby disponovali platným heslom používateľa.

Hoci úspešné zneužitie automaticky neposkytuje plný prístup k interným systémom, útočníkovi zaistí oporu vnútri sieťového perimetra organizácie – a potenciálne umožní ďalšie škodlivé aktivity vrátane eskalácie privilégií, laterálneho pohybu, krádeže prihlasovacích údajov a nasadenia ransomwaru.

Aktívne zneužívanie potvrdené

Na rozdiel od mnohých novo zverejnených zraniteľností, ktoré zostávajú teoretické až do objavenia PoC exploitov, Check Point potvrdil, že CVE-2026-50751 je už zneužívaná v reálnych útokoch.

Spoločnosť zaznamenala podozrivú aktivitu súvisiacu s touto zraniteľnosťou už 4. júna 2026, pričom forenzné vyšetrovania naznačujú, že zneužívanie mohlo začať o niekoľko týždňov skôr – s dôkazmi siahajúcimi až k 7. máju. Aktivita sa výrazne zintenzívnila na začiatku júna, čo naznačuje, že hroziví aktéri rozšírili operácie po overení účinnosti exploitu voči zraniteľným cieľom.

Hoci rozsah kampane sa zatiaľ javí obmedzený – Check Point uvádza niekoľko desiatok postihnutých organizácií globálne – analytici varujú, že počet obetí môže po verejnom zverejnení rýchlo narastať. Sofistikovaní útočníci totiž typicky začínajú vysoko selektívnymi operáciami pred rozšírením zamerania.

Ako zraniteľnosť funguje

Na úspešné zneužitie musia byť splnené viaceré podmienky súčasne:

  • Musí byť povolená funkcionalita VPN Remote Access alebo Mobile Access
  • IKEv1 musí zostať povolený pre vzdialené prístupy
  • Brány musia umožňovať pripojenia zo zastaraných VPN klientov
  • Prostredie nesmie vyžadovať autentifikáciu pomocou strojového certifikátu
  • Musia byť v prevádzke zraniteľné verzie softvéru

Keď sú tieto podmienky splnené, útočníci môžu zneužiť slabiny v procese overovania certifikátov a nadviazať VPN relácie napriek absencii platných prihlasovacích údajov. Tento útočný vektor je mimoriadne znepokojujúci, pretože VPN zariadenia často slúžia ako prvá línia obrany chránica citlivé firemné zdroje pred internetovými hrozbami.

Postihnuté produkty

Check Point identifikoval viaceré postihnuté produktové rady vrátane podnikových bezpečnostných brán a firewall zariadení:

Security Gateways:

  • R82.10 Jumbo Hotfix Take 19 a staršie
  • R82 Jumbo Hotfix Take 103 a staršie
  • R81.20 Jumbo Hotfix Take 141 a staršie
  • R81.10 (End of Support)
  • R81 (End of Support)
  • R80.40 (End of Support)

Spark Firewalls:

  • R80.20.X (End of Support)
  • R81.10.X
  • R82.00.X

Zahrnutie viacerých produktov s ukončenou podporou vyvoláva osobitné obavy – nepodporované systémy sú v prevádzkovom prostredí často ponechávané napriek absencii pravidelných bezpečnostných aktualizácií, čo z nich robí rastúci útočný povrch pre kyberzločincov aj štátom sponzorované skupiny.

Prepojenie na ransomware

Jedným z najzávažnejších zistení Check Pointu je hlásená súvislosť medzi exploitačnou aktivitou a operátormi ransomwaru. Najmenej jeden pozorovaný post-exploitačný incident zahŕňal infraštruktúru spojenú s affiliátom ransomwarovej skupiny Qilin, čo naznačuje, že finančne motivovaní aktéri využívajú zraniteľnosť ako vstupný vektor.

Operácia Qilin patrí medzi aktívnejšie Ransomware-as-a-Service (RaaS) skupiny v posledných rokoch. Podobne ako väčšina moderných ransomwarových organizácií sa spolieha na affiliátov, ktorí získajú počiatočný prístup k sieťam obetí a následne nasadia šifrovacie nástroje, ukradnú dáta a vykonajú vydieračské operácie. Prístup cez VPN zraniteľnosti poskytuje ransomwarovým operátorom efektívnu metódu obchádzania perimetrálnych obranných mechanizmov bez potreby phishingových kampaní.

Sofistikovaná útočná infraštruktúra

Vyšetrovanie Check Pointu odhalilo dôkazy o sofistikovanej útočnej infraštruktúre. Útočníci využívali virtuálne privátne servery (VPS) v konkrétnych geografických regiónoch na cielenie organizácií v zodpovedajúcich krajinách – prístup umožňujúci maskovanie škodlivej prevádzky a potenciálne obchádzanie geograficky orientovaných bezpečnostných kontrol.

Po nadviazaní VPN prístupu sa útočníci pokúšali sťahovať škodlivé ELF binárne súbory z infraštruktúry pod ich kontrolou. ELF (Executable and Linkable Format) súbory sú bežne používané spustiteľné programy na systémoch s Linuxom, čo naznačuje snahu útočníkov o zaistenie perzistencie, prieskum, krádež prihlasovacích údajov alebo prípravu kompromitovaných systémov na neskoršie fázy prieniku.

Pozoruhodným zistením sú tiež indikátory naznačujúce možné využívanie protokolu Tox na komunikáciu – decentralizovaného peer-to-peer správcovského protokolu s end-to-end šifrovaním, ktorý nepotrebuje centralizované servery. Pre svoju architektúru príležitostne priťahuje záujem kyberzločineckých skupín hľadajúcich odolné komunikačné kanály ťažko monitorovateľné orgánmi činnými v trestnom konaní. Check Point uvádza, že využívanie tohto protokolu bolo pozorované v predchádzajúcich ransomwarových kampaniach.

VPN zariadenia – dlhodobo atraktívny cieľ

Najnovšie zverejnenie je súčasťou pretrvávajúceho trendu, v rámci ktorého sa VPN zariadenia stali jednou z najintenzívnejšie cielených kategórií podnikovej infraštruktúry. V priebehu posledných rokov hroziví aktéri opakovane zneužívali zraniteľnosti v technológiách vzdialeného prístupu od hlavných dodávateľov – vrátane Check Pointu, Palo Alto Networks, Fortinetu, F5 Networks, Cisca, Ivantiho a Citrixu.

VPN brány predstavujú atraktívne ciele, pretože sa typicky nachádzajú na hranici medzi verejnou internetovou prevádzkou a internými firemnými sieťami. Organizácie navyše nezriedka odkladajú aplikovanie bezpečnostných aktualizácií na VPN infraštruktúru z obavy pred výpadkami prevádzky – čím neúmyselne vytvárajú príležitosti pre útočníkov.

Check Point zároveň upozorňuje, že pozorovaná útočná infraštruktúra sa môže pokúšať zneužívať VPN zraniteľnosti aj u iných dodávateľov, čo naznačuje rozsiahle prieskumné aktivity naprieč viacerými technológiami.

Druhá zraniteľnosť

Počas vyšetrovania Check Point identifikoval aj druhý bezpečnostný problém v prostredí VPN – CVE-2026-50752 s CVSS skóre 7.4, ktorý by mohol potenciálne umožniť útok typu adversary-in-the-middle (AitM) proti site-to-site VPN spojeniam. Zatiaľ neboli zaznamenané dôkazy o aktívnom zneužívaní tejto druhej zraniteľnosti, organizácie by však mali oba problémy riešiť súčasne.

Odporúčané kroky

Bezpečnostným tímom sa dôrazne odporúča prijať okamžité opatrenia:

  1. Aplikovať najnovšie bezpečnostné aktualizácie a hotfixy Check Pointu
  2. Vypnúť IKEv1 kdekoľvek je to prevádzkovo možné a migrovať na moderné VPN protokoly
  3. Preskúmať politiky vzdialeného prístupu a odstrániť podporu pre zastaraných VPN klientov
  4. Vyžadovať autentifikáciu pomocou strojového certifikátu popri používateľských prihlasovacích údajoch
  5. Auditovať VPN logy na neobvyklú autentifikačnú aktivitu od začiatku mája 2026
  6. Monitorovať podozrivé VPN relácie pochádzajúce od neznámych poskytovateľov VPS
  7. Preskúmať akékoľvek dôkazy neoprávnených stiahnutí ELF súborov alebo post-autentifikačnej aktivity
  8. Skontrolovať aktivitu privilegovaných účtov na príznaky laterálneho pohybu alebo kompromitácie prihlasovacích údajov

Organizácie prevádzkujúce produkty s ukončenou podporou by mali prioritizovať plány migrácie, keďže nepodporované systémy čelia zvýšenému riziku pri budúcich zraniteľnostiach.

S aktívnym zneužívaním, ktoré už prebieha, a dôkazmi ransomwarovej aktivity kybernetickí bezpečnostní experti varujú: organizácie by mali pristupovať k tejto zraniteľnosti ako k urgentnej priorite a predpokladať, že neopravené systémy vystavené internetu mohli byť už napadnuté.

Viac informácii:

https://www.linkedin.com/pulse/warning-critical-check-point-vpn-vulnerability-uftve

https://thehackernews.com/2026/06/critical-check-point-vpn-flaw-exploited.html