文章总结： CheckPoint披露关键身份验证绕过漏洞CVE-2026-50751（CVSS9.3），该漏洞影响使用已弃用IKEv1协议的VPN配置，允许攻击者无需凭证建立VPN会话。自2026年5月初以来已被勒索软件组织积极利用，用于部署麒麟勒索软件。建议立即应用安全更新并禁用IKEv1，同时从5月初开始审查VPN日志。 综合评分： 88 文章分类： 漏洞预警,威胁情报,应急响应,漏洞分析,恶意软件

Check Point VPN 零日漏洞正被勒索软件运营商积极利用

暗镜

2026年6月13日 06:00 北京

在小说阅读器读本章

去阅读

Check Point 已披露一个关键身份验证绕过漏洞（编号为 CVE-2026-50751）正在被积极利用，该漏洞会影响使用已弃用的 IKEv1 密钥交换协议配置的远程访问 VPN 和移动访问部署。

该漏洞的 CVSS 评分为 9.3，它允许未经身份验证的攻击者利用证书验证中的逻辑缺陷，在没有有效凭据的情况下建立VPN 会话。

虽然初始访问权限不会自动授予完全的网络控制权，但它使威胁行为者能够转向身份验证后的活动，包括横向移动和权限提升。

根据 Check Point Research 的研究，至少从 2026 年 5 月 7 日起就已观察到漏洞利用，并在 6 月初出现了明显的活动高峰。

此次攻击活动目标明确，似乎针对性极强，影响了全球数十家机构。至少在一起已确认的事件中，攻击后的活动与麒麟勒索软件的关联组织有关，这表明以经济利益为目的的攻击者正在利用该漏洞作为初始攻击途径。

研究人员以中等程度的信心评估认为，这些运营商与勒索软件驱动的活动有关，并且可能正在重复使用针对其他供应商（如 Fortinet、Palo Alto Networks 和 F5）的 VPN 产品发起的攻击中出现的基础设施和技术。

从技术角度来看，CVE-2026-50751 源于基于 IKEv1 的 VPN 身份验证流程中不完善的证书验证逻辑。攻击者可以利用此漏洞完全绕过密码验证，并建立远程 VPN 会话。

这显著降低了攻击者的入侵门槛，尤其是在为了兼容旧版协议而仍然启用 IKEv1 的环境中。Check Point 强调，该漏洞仅影响使用 IKEv1 的配置，而 IKEv1 由于其固有的安全缺陷早已被弃用。

在调查过程中，Check Point 还发现了一个次要漏洞 CVE-2026-50752 (CVSS 7.4)，该漏洞会影响使用 IKEv1 的站点到站点 VPN 连接中的证书验证。

在特定条件下，此漏洞可能允许中间人攻击 (MitM)。虽然尚未发现 CVE-2026-50752 被实际利用，但其发现凸显了与传统加密协议相关的系统性风险，并强调了主动修补漏洞的必要性。

威胁情报显示，攻击者正在利用 Kaupo Cloud HK、Shock Hosting 和 Vultr 等提供商托管的 VPS 基础设施。

值得注意的是，部分攻击基础设施的地理位置似乎与目标受害者相吻合，这表明攻击者具备一定的行动意识，并可能存在地域定向攻击。此外，攻击者还观察到其在命令与控制通信中使用了 Tox 协议，这是勒索软件组织常用的一种规避检测的技术。

后渗透活动包括尝试部署麒麟勒索软件有效载荷，特别是从攻击者控制的服务器中获取的 Linux ELF 二进制文件。

强烈建议各组织立即应用 Check Point 的最新安全更新，并尽可能关闭 IKEv1。事件响应团队应从 2026 年 5 月初开始对 VPN 日志进行取证分析，以识别可疑的身份验证事件和未经授权的访问。

IOC

| 类型 | 指标 | | — | — | | IP地址 | 45.77.149[.]152 | | IP地址 | 209.182.225[.]136 | | IP地址 | 38.60.157[.]139 | | IP地址 | 162.33.177[.]101 | | IP地址 | 45.76.26[.]42 | | IP地址 | 144.208.127[.]155 | | IP地址 | 38.54.88[.]201 | | IP地址 | 38.54.107[.]167 | | IP地址 | 66.42.99[.]200 | | MD5 哈希值 | 52fda5c1b9704544f32ee98d9060e689 | | MD5 哈希值 | 51d39aa39478beeac94f2d12f682ecce |

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 《Check Point VPN 零日漏洞正被勒索软件运营商积极利用》