Check Pointは、同社のRemote Access VPNおよびMobile Accessソリューションに存在する重大なゼロデイ脆弱性に対するパッチ適用を、顧客に強く求めています。この脆弱性は現在も活発に悪用されています。
CVE-2026-50751は認証バイパスの脆弱性であり、廃止予定のIKEv1鍵交換プロトコルを使用するよう設定された環境に影響します。
同セキュリティベンダーは6月8日、ある事例においてQilinランサムウェアグループの関係者がこの脆弱性を「侵害後の活動」に悪用したことを明らかにしました。
「攻撃者は、Remote AccessおよびMobile Accessの証明書検証における論理フローの欠陥を突くことで、ユーザー認証を回避し、有効なユーザーパスワードなしにリモートアクセスVPN接続を確立できます」とCheck Pointは説明しています。
「Check Pointは、この脆弱性が実際の環境で積極的に悪用されていることを確認しています」
関連記事:サイバー犯罪者がCheck Pointのアンチウイルスドライバーを悪意あるキャンペーンに悪用
この脆弱性は5月7日から悪用が始まりましたが、6月初旬に攻撃の試みが急増しました。Check Pointは6月4日に調査を開始しており、これまでのところ攻撃は世界規模で「数十の標的組織」に限定されているとしています。
「観察した侵害後の活動に基づき、CVE-2026-50751の悪用の背後にいる攻撃者は金銭的な動機を持ち、Qilinランサムウェアを使用していると中程度の確信で評価しています」と同社は続けています。「この脅威アクターのインフラは、Palo Alto、Fortinet、F5が公表したものなど、他のVPN関連脆弱性も悪用していると考えられます。」
この関係者は攻撃の実行に専用の仮想プライベートサーバー(VPS)インフラを使用しており、一部のIPアドレスはKaupo Cloud HK、Shock Hosting、Vultr Holdingsがホスティングしていることが判明しています。
別の脆弱性の発見
CVSSスコア9.3のCVE-2026-50751を調査する中で、Check PointはさらにCVE-2026-50752という別の脆弱性も発見しました。スコアは7.4で、現時点では脅威アクターによる悪用は確認されていないと同社は述べています。
「CVE-2026-50752は、廃止予定のIKEv1鍵交換における証明書検証に影響を与え、特定の条件下でサイト間VPN通信に対する中間者攻撃を可能にする恐れがあります」と同社は説明しています。
「Check Pointは、この脆弱性が実際の環境で悪用されていることは確認していません。潜在的なリスクを軽減するため、顧客にはアップデートの適用を推奨します。」
顧客は、公開されたホットフィックスを適用して、すべての影響製品をアップデートするよう強く求められています。
翻訳元: https://www.infosecurity-magazine.com/news/check-point-critical-auth-bypass/
