Уязвимость в устаревшем протоколе IKEv1 позволяла подключаться к Check Point VPN без аутентификации. Этой критической проблеме, которая затрагивает Remote Access VPN и Mobile Access, присвоили идентификатор CVE-2026-50751 (9,3 балла по шкале CVSS), и специалисты Check Point уже выпустили срочное исправление. Однако 0-day уже находится под атаками больше месяца и применялась операторами шифровальщика Qilin.

Уязвимость представляет собой логическую ошибку в механизме проверки сертификатов, и ее эксплуатация позволяла удаленному атакующему обойти аутентификацию и установить VPN-соединение, даже не зная пароля. При этом отмечается, что для дальнейшего доступа к внутренним ресурсам или повышения привилегий потребуются дополнительные действия.

Специалисты Check Point подчеркивают, что проблема затрагивает только определенные конфигурации. Так, для эксплуатации уязвимости необходимо, чтобы в инфраструктуре был включен устаревший протокол обмена ключами IKEv1, шлюз сохранял поддержку legacy-клиентов и не требовал обязательной аутентификации по сертификату устройства.

По данным компании, первые атаки на CVE-2026-50751 начались еще 7 мая 2026 года, однако в начале июня их интенсивность заметно возросла. Хотя пока речь идет лишь о нескольких десятках организаций по всему миру, как минимум в одном случае исследователи обнаружили активность, связанную с вымогателем Qilin.

Также специалисты считают, что та же инфраструктура может использоваться для эксплуатации других VPN-уязвимостей в продуктах Palo Alto Networks, Fortinet и F5. Кроме того, были обнаружены признаки использования протокола Tox, который нередко применяют операторы вымогательской малвари для связи между своими узлами.

В отчете компании отмечается, что в ходе расследования атак и изучения проблемы CVE-2026-50751 была обнаружена еще одна уязвимость — CVE-2026-50752. Она получила 7,4 балла по шкале CVSS и тоже связана с IKEv1. Этот баг может применяться для MitM-атак на VPN-соединения типа site-to-site. Следов эксплуатации этой проблемы пока не обнаружено, но пользователям все равно рекомендуется как можно скорее установить обновления.

Тем, кто не имеет возможности немедленно развернуть патчи, в Check Point советуют отключить поддержку старых клиентов Remote Access, использовать для аутентификации только IKEv2, сделать обязательной аутентификацию по сертификату устройства, а также включить IPS и загрузить актуальные сигнатуры.