Kritična ranjivost u Check Point VPN-u iskorišćena u napadima Qilin ransomware grupe
Check Point je upozorio na kritičnu ranjivost u VPN proizvodima koju iskprijavati Qilin ransomware grupa.
Šta se desilo?
Check Point je objavio upozorenje o kritičnoj ranjivosti u svojim VPN i firewall proizvodima koja omogućava zaobilaženje autentifikacije. Napadači koriste ovu nedoslednost u validaciji sertifikata za pristup bez validne lozinke, i prema dostupnim podacima, aktivno je iskorišćavaju od maja ove godine. Najmanje jedan napad povezan je sa Qilin ransomware grupom.
Koga pogađa?
Ranjivost ugrožava sve organizacije koje koriste Check Point Remote Access i Mobile Access komponente sa IKEv1 protokolom. Do sada je potvrđeno da je nekoliko desetina ciljanskih organizacija globalno napano, što obuhvata vladine institucije, finansijske institucije i industrijske sektore. CISA je izdala obaveznu preporuku za federalne agencije SAD-a.
Kako se zaštititi?
- Odmah primenite hotfix koji je objavio Check Point za sve pogođene uređaje
- Proverite indikatore kompromitovanja (IoC) koje je objavio Check Point na svojoj strani
- Pregledate logs VPN pristupa tražeći sumnjive konekcije bez validne autentifikacije
- Ograničite pristup VPN servisu samo sa poznatih IP adresa gde je to moguće
- Razmislite o začasnom isključivanju IKEv1 protokola ako ga vaša infrastruktura ne zahteva
- Pratite препоруке Check Point-a za dodatne mere zaštite
Tehnički detalji
Primarna ranjivost je evidirana kao CVE-2026-50751 sa CVSS skorom od 9.3. Problem se nalazi u logici validacije sertifikata kod Remote Access i Mobile Access komponenti u zastarelo IKEv1 ključnoj razmeni. Omogućava udaljenim napadačima da uspostave VPN sesije bez validne lozinke. Check Point je istovremeno otkrio i drugu ranjivost - CVE-2026-50752 - koja dozvoljava napadače-u-sredini napade na VPN veze između lokacija, ali ona do sada nije aktivno iskorišćavana. Oba problema su hitno zakrpljeni kroz hotfixeve.
Preporuka Sajber Radara
Ovo je hitna situacija - ranjivost je već aktivno iskorišćavana i povezana sa poznatom ransomware grupom. Organizacije sa Check Point infrastrukturom moraju da primene zakrpe bez odlaganja. CISA je postavila rok od 11. juna za federalne agencije, što pokazuje ozbiljnost pretnje.