duty-free.cc
Ransomware

Check Point связала атаки на VPN с уязвимостью нулевого дня и группировкой Qilin

Duty News 0 21 час назад

Check Point связала атаки на VPN через уязвимость нулевого дня с группировкой Qilin

Израильская компания Check Point выпустила обновления безопасности для устранения критической уязвимости в решениях Remote Access VPN и Mobile Access, которая активно эксплуатировалась в атаках нулевого дня.

Что за уязвимость?

Уязвимость CVE-2026-50751 позволяет неаутентифицированному удалённому атакующему обойти аутентификацию на целевых устройствах — Mobile Access / SSL VPN, Remote Access VPN или межсетевых экранах Spark — и установить несанкционированное VPN-соединение.

Проблема затрагивает только конфигурации, использующие устаревший протокол обмена ключами IKEv1, при условии что шлюзы принимают подключения от legacy-клиентов и не требуют машинного сертификата.

Хронология атак

Атаки начались 7 мая и резко усилились в начале июня. На сегодняшний день зафиксировано несколько десятков пострадавших организаций по всему миру. Как минимум один инцидент связан с деятельностью группировки-вымогателя Qilin.

«Клиентам, использующим протокол обмена ключами IKEv1, настоятельно рекомендуется незамедлительно установить доступные обновления безопасности.»

— Check Point

Вторая уязвимость

В ходе расследования CVE-2026-50751 специалисты Check Point обнаружили вторую уязвимость — CVE-2026-50752, связанную с проверкой сертификатов в устаревшем IKEv1. Она может быть использована для атак типа «человек посередине» на site-to-site VPN-соединения. Свидетельств эксплуатации в реальных атаках пока не выявлено.

Меры защиты для тех, кто не может сразу установить патч

  • Отключить поддержку legacy-клиентов удалённого доступа
  • Настроить аутентификацию Remote Access VPN только на IKEv2
  • Сделать аутентификацию по машинному сертификату обязательной
  • Включить IPS и загрузить актуальные сигнатуры

Кто такие Qilin?

Группировка Qilin появилась в августе 2022 года под названием «Agenda» как операция Ransomware-as-a-Service и с тех пор заявила об ответственности почти за 400 атак на своём сайте в даркнете. Среди жертв — автомобильный гигант Yangfeng, Nissan, японская пивоваренная компания Asahi, издательский концерн Lee Enterprises, провайдер патологических услуг Synnovis и австралийская служба Court Services Victoria.