导语:一个认证绕过漏洞,一扇向攻击者敞开的VPN大门,一个活跃超过一个月的勒索攻击行动。Check Point于6月8日紧急发布安全公告,披露其VPN产品中的IKEv1认证绕过漏洞已被Qilin(麒麟)勒索软件团伙武器化。CVSS评分9.3,无需密码即可建立VPN会话——这个组合,足以让任何依赖Check Point VPN的企业连夜拉响警报。
一、事件概述
2026年6月4日,Check Point安全研究团队发现异常活动信号,随即启动紧急调查。调查结果令人不安:最早在野利用可追溯到5月7日——攻击者领先补丁整整一个月。
漏洞编号CVE-2026-50751,CVSS 3.1评分9.3(严重级),属于认证绕过类型。攻击者利用IKEv1证书验证中的逻辑流程缺陷,可在不持有有效用户密码的情况下建立远程访问VPN会话。
Check Point的AI代码安全平台BLAST(爆裂),在对受影响VPN组件进行扩展审查时,还挖出了第二个漏洞CVE-2026-50752(CVSS 7.4),涉及站点到站点VPN连接中的中间人攻击风险,目前暂无野外利用证据。
截至发稿,全球已有数十家组织遭受攻击,其中至少一起被确认与Qilin(麒麟)勒索软件团伙的部署活动关联。
二、技术分析
2.1 漏洞定位
CVE-2026-50751的本质是IKEv1协议废弃功能中的逻辑缺陷。
IKEv1(互联网密钥交换协议第一版)已被互联网工程任务组(IETF)正式标记为历史废弃协议。然而,许多Check Point部署为兼容老旧的远程访问客户端,仍保留着IKEv1回退选项。
漏洞触发的条件链:
- VPN远程访问或移动访问功能已启用
- IKEv1密钥交换协议已启用(兼容旧客户端)
- 网关接受遗留远程访问客户端连接
- 网关不要求机器证书认证
当这四个条件同时满足时,攻击者通过证书验证流程中的逻辑缺陷,可以在完全无需密码的情况下,建立一个有效的远程访问VPN会话。
注意:获取VPN会话本身不等于取得内网访问权限,攻击者仍需后续的后认证阶段活动来访问内部资源或提升权限。
2.2 受影响版本
| 产品系列 | 受影响版本 | 状态 |
|---|---|---|
| Security Gateways R82.10 | JHF Take 19 及以下 | 需更新 |
| Security Gateways R82 | JHF Take 103 及以下 | 需更新 |
| Security Gateways R81.20 | JHF Take 141 及以下 | 需更新 |
| Security Gateways R81.10 | 全版本 | EOS,需迁移 |
| Security Gateways R81 | 全版本 | EOS,需迁移 |
| Security Gateways R80.40 | 全版本 | EOS,需迁移 |
| Spark 防火墙 R81.10.X | 受影响 | 需更新 |
| Spark 防火墙 R82.00.X | 受影响 | 需更新 |
| Spark 防火墙 R80.20.X | 全版本 | EOS,需迁移 |
EOS(End of Support)版本无官方补丁,必须尽快迁移到受支持版本。
三、Qilin——躲在VPN后面的勒索猎手
Qilin(麒麟)最早于2022年8月以”Agenda”名称出现,运营模式为勒索软件即服务(RaaS)。截至目前,其暗网泄密网站上已列出近400名受害者。
该组织的”战绩”包括:
- 伦敦医院病理服务商Synnovis(辛诺维斯),导致数千台手术延期
- 日产汽车澳大利亚设计工作室
- 日本朝日啤酒
- 出版巨头Lee Enterprises(李氏企业)
- 澳大利亚法院服务局
- 中国汽车零部件巨头延锋
本次攻击中,Qilin(麒麟)展现了一套教科书级的行动模式:
- VPS地理对位:攻击者使用与受害者地理位置一致的VPS(虚拟专用服务器)进行攻击——例如针对台湾组织时使用台湾的VPS。
- VPS提供商:涉及Kaupo Cloud HK、Shock Hosting和Vultr Holdings。
- 通信方式:使用Tox协议进行匿名通信,这是勒索软件运作者的典型模式。
- 数据窃取:使用开源工具Rclone将窃取数据回传至攻击者控制的服务器。
- 横向扩展:Check Point评估认为,该攻击者基础设施同时用于利用Palo Alto、Fortinet和F5的VPN相关漏洞。
CVE-2026-50752:AI挖出的第二枚炸弹
在深入调查CVE-2026-50751的过程中,Check Point使用其自研AI代码安全平台BLAST(爆裂)对受影响VPN组件进行了扩展审查。这一审查发现了一个额外的漏洞——CVE-2026-50752。
该漏洞影响IKEv1证书验证逻辑,可能允许攻击者通过中间人攻击(AitM)干扰站点到站点的VPN通信。虽然目前无野外利用证据,但这一发现再次印证了AI辅助代码审查在补丁前安全评估中的价值。
四、攻击时间线
| 时间 | 事件 |
|---|---|
| 2026年5月7日 | 最早的已知在野利用活动 |
| 2026年5月至6月初 | Qilin团伙持续使用IKEv1绕过漏洞获取初始访问 |
| 2026年6月4日 | Check Point发现异常活动,启动调查 |
| 2026年6月初 | 利用尝试显著增加 |
| 2026年6月8日 | Check Point发布紧急安全公告及补丁 |
攻击者领先官方补丁整整一个月。应急响应团队应从此时间线起点(5月7日)开始进行取证日志审计和配置审查。
五、IOC(威胁指标)
攻击者IP
45.77.149.152
209.182.225.136
38.60.157.139
162.33.177.101
45.76.26.42
144.208.127.155
38.54.88.201
38.54.107.167
66.42.99.200恶意文件哈希
52fda5c1b9704544f32ee98d9060e689
51d39aa39478beeac94f2d12f682ecce六、修复与缓解方案
立即行动(优先级最高)
1. 应用官方补丁
根据版本查阅Check Point官方知识库SK185033获取精确升级指导。
2. 移除IKEv1支持
如果无法立即更新,执行以下配置变更:
- 移除对遗留远程访问客户端的支持
- 将远程访问VPN认证全局属性设置为仅IKEv2
- 强制启用机器证书认证
- 启用IPS并下载最新签名
3. 取证排查
- 从5月7日起全面审计VPN日志
- 搜索上述IOC中的IP地址和文件哈希
- 检查异常VPN会话:非预期地域的登录、非业务时段的连接、无密码认证的记录
4. EOS版本紧急迁移
R81.10、R81、R80.40、R80.20.X已停止支持。这些版本的设备直接暴露在野外利用威胁之下,必须立即迁移到受支持版本。
七、国内企业的特殊风险
Check Point VPN是国内金融、制造、科技等行业大中型企业的常用远程接入方案。以下因素使国内企业面临更高风险:
- 遗留客户端多:许多企业为兼容老旧终端,保留了IKEv1回退设置。
- 机器证书未强制:部分部署为了便利性,未强制要求机器证书认证。
- EOS版本仍在运行:国内存在一定数量的已停止支持版本在网运行。
- VPN暴露面大:远程办公常态化后,VPN网关直接暴露在公网。
自检命令:立即检查VPN远程访问配置,确认是否满足漏洞触发的四个条件。
八、参考资料
- Check Point 官方安全公告
- Check Point 知识库 SK185033(含修复指导)
https://support.checkpoint.com/results/sk/sk185033
- Check Point 知识库 SK185035(CVE-2026-50752)
https://support.checkpoint.com/results/sk/sk185035
- Help Net Security 报道
https://www.helpnetsecurity.com/2026/06/08/check-point-cve-2026-50751-qilin-ransomware/
- BleepingComputer 深度报道
- The Hacker News 技术分析
https://thehackernews.com/2026/06/critical-check-point-vpn-flaw-exploited.html
- Ctrl-Alt-Intel Qilin 组织研究报告
https://ctrlaltintel.com/research/Qilin/
版权声明:本文由华盟网原创发布,保留所有权利。配图由华盟网授权使用。
暂无评论内容