Check Point VPN 漏洞已畀勒索軟件盯上,IT 要即刻查 IKEv1
受影響 gateway、CISA KEV 同修補重點一次過講清楚
Check Point 今次呢個 VPN 漏洞唔係例行 CVE。CVE-2026-50751 已經被實際攻擊,Check Point 話由 5 月 7 日起見到入侵活動,6 月初明顯多咗;官方口徑係全球幾十個被針對機構受影響,當中一宗有 Qilin 勒索軟件 affiliate 嘅 post-compromise 活動。換句話講,唔好寫成每間都中 ransomware,但如果你管住 Check Point gateway,呢單應該即刻排上今日清單。
受影響唔止 VPN client
漏洞核心係 deprecated IKEv1 key exchange 入面嘅 certificate validation 邏輯錯,攻擊者冇有效用戶密碼都可以建立 remote access VPN session;之後仍然要再做 post-auth 動作先可掂到內部資源或提權。受影響產品包括 Mobile Access / SSL VPN、Remote Access VPN 同 Spark Firewall;Check Point blog 標 CVSS 9.3,亦確認已經喺外面被利用。
真係有風險要同時中幾個條件:Security Gateways R82.10 JHF Take 19 或以下、R82 Take 103 或以下、R81.20 Take 141 或以下、R81.10/R81/R80.40 EOS,或者 Spark Firewall R80.20.X EOS、R81.10.X、R82.00.X。設定上要同時開咗 VPN Remote Access 或 Mobile Access、remote access 用 IKEv1、接受 legacy Remote Access clients,而且連線冇強制 machine certificate。四粒 checkbox 有一粒唔中,風險模型就唔同;但 IT admin 最怕就係有啲舊設定喺角落未清。
圖片:Check Point Blog
CISA KEV 係警號,唔係香港限期
CISA 6 月 8 日將 CVE-2026-50751 加入 Known Exploited Vulnerabilities catalog,due date 係 6 月 11 日,並標示 known ransomware campaign use: Known。呢個限期係畀美國 federal civilian agencies 跟 BOD 22-01 做,唔係香港公司嘅監管死線;但 KEV 嘅意義好實際:漏洞已經喺外面打緊,唔應該等月尾例行 patch window。
本地方面,HKCERT 6 月 9 日出咗 Check Point 產品多個漏洞公告,風險評級係中度,原因係要同時滿足多個前置條件。呢個評級唔代表可以慢慢嚟:香港好多公司同機構都有用 VPN 畀同事遙距入內網;一部 gateway 一旦變成入口,後面就係 AD、檔案 share、ERP、backup server。VPN box 往往比普通 endpoint 更少人每日望 log,呢點先麻煩。
圖片:Check Point Support
IT admin 今日要做咩
- 對清型號同版本:先搵 Security Gateway / Spark Firewall 係咪落喺受影響版本,尤其 EOS build。
- 查 remote access 設定:有冇 IKEv1、legacy Remote Access clients、未強制 machine certificate。
- 可以 patch 就裝 hotfix;暫時唔可以,就按官方做 mitigation:關 legacy client、改 IKEv2 only,或者強制 machine certificate。
- 做 hunting:SmartConsole 由 2026-05-07 起查 VPN/IKE log,最少睇到 2026-06-05,最好拉 60 日;集中睇官方 IoC、Key Install 同 Quick Mode 相關事件。
圖片:Check Point Support
我嘅睇法:呢類漏洞最值得驚嘅位,唔係 CVSS 分數,而係佢打中企業多年留下嘅相容性債。IKEv1、舊 client、冇 machine certificate,可能全部都係某次遷移「暫時留住」嘅設定;幾年後就變成勒索軟件入門票。今次唔使等 PoC 影片或者大規模受害名單,先做 inventory、清 legacy access,再按 Change Control 裝 patch,已經係最實際嘅處理。
參考來源
- TechCrunch — CISA gives US federal agencies three days to fix a VPN bug under attack by a ransomware gang — original report
- Check Point Security Advisory for CVE-2026-50751 — 官方 advisory,確認漏洞成因、CVSS、受影響產品、攻擊時間線同 Qilin 相關描述。
- Check Point sk185033: CVE-2026-50751 — 官方支援文章,列出精確受影響版本、前置條件、hunting 方法、mitigation 同 hotfix。
- CISA Known Exploited Vulnerabilities Catalog JSON — 確認 CVE-2026-50751 已入 KEV、date added、due date 同 ransomware campaign 標記。
- HKCERT: Check Point 產品多個漏洞 — 本地保安公告,確認香港 HKCERT 已跟進並列出受影響設定。
- Rapid7: Critical Check Point VPN Zero-Day Exploited in the Wild — 第三方安全研究背景,補充 affected configurations 同 remote access VPN 風險脈絡。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。
