返回首页

Check Point VPN Zero-Day CVE-2026-50751: CVSS 9.3 IKEv1 Auth Bypass, Qilin Ransomware Exploited for 31 Days

· 13 分钟阅读 · 4926 字 · 0 次浏览

零日-2026-50751:CVSS 9.3认证绕过,Qilin勒索软件31天肆虐

hero

CVE-2026-50751是一个CVSS 9.3的IKEv1 VPN协议认证绕过漏洞,从2026年5月7日起被攻击者利用,Check Point在31天后才发布补丁。在安全公告发布后不到3小时即将其加入目录,要求联邦机构72小时内完成修复。Rapid7确认了至少两起高置信度入侵案例,Check Point调查发现全球数十个组织受影响。

漏洞原理:IKEv1协议的结构性缺陷

section

CVE-2026-50751(CWE-287: Improper Authentication)存在于Check Point Gateway的IKEv1(Internet Key Exchange version 1)VPN协议实现中。该漏洞允许未经认证的攻击者绕过VPN认证机制,直接建立VPN隧道并访问企业内部网络。

IKEv1是一个已废弃的VPN协议标准,存在已知的设计缺陷。然而,大量企业仍在使用它,因为迁移到IKEv2需要重新配置所有VPN客户端和网关。CVE-2026-50751利用了IKEv1主模式(Main Mode)协商过程中的认证逻辑缺陷——攻击者可以构造特制的IKE_SA_INIT和IKE_AUTH消息,在不提供有效凭证的情况下完成认证。

属性 详情
CVE编号 CVE-2026-50751
CVSS评分 9.3(严重)
CWE分类 CWE-287(不当认证)
受影响协议 IKEv1(已废弃)
攻击向量 网络(无需认证)
影响范围 机密性、完整性、可用性全部受损
利用复杂度

31天窗口:从首次利用到补丁发布

section

CVE-2026-50751的利用时间线揭示了企业在零日漏洞面前的脆弱性。

2026年5月7日: 攻击者首次利用该漏洞入侵Check Point Security Gateway。多个安全厂商的遥测数据显示,攻击者在发现该认证逻辑缺陷后数小时内即开始了系统性利用。

2026年5月7日-6月4日(28天): Check Point未意识到其产品正在遭受主动攻击。安全运营团队无法对未知漏洞进行优先级排序——基于签名的检测方案无法覆盖尚未公开的漏洞。大多数企业VPN日志配置记录的是认证成功事件,而非底层IKE协商序列,这使得基于异常的威胁狩猎也难以奏效。

2026年6月4日: Check Point启动内部调查。

2026年6月8日: 三件事在同一天发生——Check Point发布安全公告、热修复补丁SK185033上线、CISA将CVE-2026-50751加入KEV目录。从安全公告到KEV列表的间隔不到3小时,这是2026年CISA对VPN零日最快的升级速度。

# 检查Check Point Security Gateway是否启用了IKEv1
# 登录到SmartConsole或使用
cpstat vpn -f IkePhase1 | grep -i "ikev1"

# 检查VPN日志中的异常IKE协商
# 在SmartConsole中过滤日志
# Product: VPN-1, Action: Accept, Protocol: IKE
# 时间范围: 2026年5月7日至今

# 检查是否有非预期的VPN隧道建立
vpn tu tlist | grep -v "expected_peer"

受影响产品与版本

section

产品版本 受影响状态 补丁状态
R81.20.x 受影响 已修复(SK185033)
R82.x 受影响 已修复(SK185033)
R81.10 受影响 无补丁(已停止支持)
R81.0 受影响 无补丁(已停止支持)
R80.40 受影响 无补丁(已停止支持)
R80.20.x 受影响 无补丁(已停止支持)

停止支持的版本不会收到补丁,这些系统需要立即迁移或部署补偿控制。

Qilin勒索软件:入侵后的横向移动

section

至少一个Qilin勒索软件附属组织利用CVE-2026-50751作为初始访问手段。Qilin(又名Agenda)是一个(勒索软件即服务)平台,以高额赎金分成和激进的双重勒索策略闻名。

攻击者在通过VPN认证绕过获得内网访问后的典型行动模式:

  1. 内部侦察: 使用BloodHound或SharpHound枚举Active Directory结构
  2. 凭证收集: 通过Mimikatz或LSASS dump获取域管理员凭证
  3. 横向移动: 使用PsExec、WMI或RDP在内部网络中移动
  4. 数据窃取: 使用Rclone或Megasync将敏感数据外传至云存储
  5. 勒索部署: 在获得足够权限后部署勒索软件加密器
# 检测Qilin勒索软件的常见IOC
# 检查可疑的PsExec服务创建
Get-WinEvent -FilterHashtable @{LogName=''; ID=7045} |
  Where-Object { $_.Message -match 'PSEXESVC' }

# 检查LSASS访问(Mimikatz指标)
Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4663} |
  Where-Object { $_.Message -match 'lsass.exe' }

# 检查异常的RDP连接
Get-WinEvent -FilterHashtable @{LogName='--TerminalServices-RemoteConnectionManager/Operational'; ID=1149} |
  Select-Object TimeCreated, @{N='User';E={$_.Properties[0].Value}}, @{N='IP';E={$_.Properties[2].Value}}

# 检查Rclone/Megasync进程
Get-Process | Where-Object { $_.Name -match 'rclone|megasync' }

CISA 72小时修复令

section

CISA的KEV(Known Exploited Vulnerabilities)目录要求所有联邦民事执行机构(FCEB)在指定时间内完成修复。CVE-2026-50751的修复期限为72小时——从2026年6月8日加入KEV目录开始计算。

虽然KEV要求仅对联邦机构具有强制约束力,但CISA强烈建议所有组织参照执行。72小时的时间窗口对许多企业来说极具挑战性,尤其是那些运行停止支持版本Check Point Gateway的组织。

72小时应急响应清单:

# 第一小时:评估暴露面
# 1. 确认所有Check Point Gateway的位置和版本
# 2. 确认哪些启用了IKEv1
# 3. 确认哪些暴露在互联网上

# 第2-24小时:紧急缓解
# 1. 禁用IKEv1,仅保留IKEv2
set vpn ipsec ike-group disable-ikev1 true
# 2. 如果无法禁用IKEv1,限制源IP范围
# 3. 启用增强日志记录

# 第25-48小时:补丁部署
# 1. 下载SK185033热修复
# 2. 在测试环境验证
# 3. 分批部署到生产环境

# 第49-72小时:确认与取证
# 1. 确认所有系统已修补
# 2. 审查5月7日至今的VPN日志
# 3. 检查是否有横向移动迹象

检测与取证指南

对于在补丁发布前已暴露的系统,需要进行全面的取证分析。

# IKEv1异常检测脚本
#!/bin/bash
LOG_DIR="/var/log/checkpoint"
echo "=== CVE-2026-50751 取证分析 ==="

echo "[1] 查找IKEv1协商记录"
grep -r "IKEv1" $LOG_DIR/ | grep "2026-0[56]" | head -50

echo "[2] 查找未知来源IP的VPN连接"
grep "IKE_SA_INIT" $LOG_DIR/ | awk '{print $NF}' | sort -u

echo "[3] 检查异常隧道建立时间"
grep "tunnel established" $LOG_DIR/ |
  awk '$3 >= "00:00" && $3 <= "06:00"'  # 检查非工作时间的隧道

echo "[4] 检查配置文件完整性"
md5sum /etc/fw/conf/*.conf
# 对比基线哈希值

VPN零日趋势:2026年企业边界系统性攻击

CVE-2026-50751并非孤例。2026年上半年,多个企业VPN产品被发现存在零日漏洞并被在野利用:

产品 CVE CVSS 利用时间
Check Point Security Gateway CVE-2026-50751 9.3 31天
Catalyst CVE-2026-20245 7.8 2个月+
FortiOS 多个CVE - 持续
VPN 多个CVE - 持续

VPN和SD-WAN设备成为系统性攻击目标的原因:

  • 直接暴露在互联网上,攻击面大
  • 通常运行闭源固件,安全审计困难
  • 补丁部署周期长(需要维护窗口)
  • 一旦被突破,直接获得内网访问权限

数据来源与参考文献

  1. Shattered.io. "Check Point VPN : CVSS 9.3, Qilin Ransomware [2026]." shattered.io, June 2026.
  2. CISA. "Known Exploited Vulnerabilities Catalog: CVE-2026-50751." cisa.gov, June 2026.
  3. Rapid7. "CVE-2026-50751: Check Point Security Gateway Authentication Bypass." rapid7.com, June 2026.
  4. Check Point. "Security Advisory SK185033." checkpoint.com, June 2026.
  5. Barracuda. "Agentic : The 2026 Threat Multiplier Reshaping Cyberattacks." blog.barracuda.com, February 2026.

更新时间: 2026-06-25

评论

相关推荐

Ivanti Sentry CVSS 10.0 RCE Vulnerability CVE-2026-10520 Deep Analysis

CVE-2026-10520 (CVSS 10.0) allows unauthenticated root RCE in Ivanti Sentry. watchTowr published PoC on June 10, two devices confirmed backdoored same day. CISA added to KEV catalog. Full technical analysis, IoC detection, and enterprise response checklist.

#security #cve #vulnerability

Cisco SD-WAN Zero-Day CVE-2026-20245: Attackers Exploit Months Before Patch, Mandiant Reveals Full Intrusion Chain

Mandiant confirms CVE-2026-20245 was exploited in the wild at least two months before public disclosure. Attackers escalated from netadmin to root via malicious CSV upload, using anti-forensic techniques. This is Cisco's sixth exploited zero-day in 2026.

#security #cve #vulnerability

Kubernetes CVE-2026-1483容器逃逸漏洞:从Pod到宿主机Root的完整攻击链

CVE-2026-1483允许拥有Pod创建权限的攻击者突破容器隔离获取宿主机root权限。本文详解攻击链、同类逃逸漏洞对比、Falco检测规则和三层防御加固方案。

#security #cve #vulnerability

CVE-2026-7482 Bleeding Llama: Ollama Critical Memory Leak Affects 300K AI Servers

CVE-2026-7482 (CVSS 9.1) in Ollama allows unauthenticated attackers to dump entire process memory via 3 API calls, leaking API keys, system prompts, and credentials from 300K+ exposed servers.

#security #cve #vulnerability

Fortinet大规模凭证收割事件:30,000+设备VPN凭证明文泄露,企业边界防护全线告急

安全研究人员发现大规模凭证收割行动,超过30,000台Fortinet VPN设备的登录凭证明文泄露。这批凭证涉及全球数千家企业,攻击者可直接入侵企业内网。

#security #cve #vulnerability
更多专题: