同社のVPN製品に存在する脆弱性は、5月上旬から悪用が続いています。
Check Point Remote Access VPNおよびMobile Access製品に存在する認証バイパスの重大な脆弱性が、1か月以上にわたって悪用され続けていることが明らかになりました。Check Point Researchが月曜日に公開したブログ記事 で報告されたものです。
同レポートによると、CVE-2026-50751として追跡されているこの脆弱性は、証明書検証における論理的な欠陥に起因するものです。悪用に成功した場合、攻撃者はパスワードなしでVPNセッションを確立できます。
不審な活動を検知したCheck Pointは木曜日に調査を開始しました。その結果、脅威活動が5月4日にまで遡ることが判明しています。研究者たちはセキュリティチームに対し、フォレンジックログの監査と設定の見直しを優先するよう呼びかけています。
このVPN脆弱性は、非推奨となったInternet Key Exchange v1プロトコルを使用するよう設定された環境に存在します。
フォレンジック調査の所見
これまでの調査では、世界各地で数十の組織が標的にされていたことが確認されています。特定のケースでは、侵害後の活動がQilinランサムウェアのアフィリエイトと関連していることが判明しました。また研究者によると、同一のインフラがPalo Alto Networks、F5、Fortinetに存在するVPN脆弱性を標的とした活動でも確認されています。
米サイバーセキュリティ・インフラセキュリティ庁(CISA)は月曜日、CVE-2026-50751を既知の悪用された脆弱性(KEV)カタログに追加しました。
調査の過程で、Check PointはCVE-2026-50752として追跡される2つ目の脆弱性も発見しました。この欠陥は、非推奨となったIKEv1鍵交換における証明書検証に影響を与えるものです。特定の条件が揃った場合、サイト間VPN通信に影響を与えるMan-in-the-Middle攻撃が可能になる恐れがあります。なお、この2つ目の脆弱性については、現時点で悪用は確認されていません。
Check Pointはホットフィックスへのアップグレードを強く推奨しています。また同社は、脆弱性に対処するためのセキュリティガイダンスと緩和策も公開しています。
Rapid7の研究者も、CVE-2026-50751に関連するケースを少なくとも1件確認したことを明らかにしています。
研究者はまた、このゼロデイ脆弱性の影響を受ける製品バージョンブランチは合計9つあり、そのうち4つはすでにサービス終了(EoS)状態にあり、Check Pointのサポート対象外となっていることも指摘しています。
翻訳元: https://www.cybersecuritydive.com/news/check-point-zero-day-ransomware/822372/
