Check Point VPN 0-day Vulnerability Exploited in the Wild to Deploy Ransomware
2026/06/08 CyberSecurityNews — Check Point Research が認めたのは、同社の Remote Access VPN および Mobile Access 環境に存在する深刻な認証バイパスの脆弱性 CVE-2026-50751 (CVSS:9.3) が実環境で悪用されていることである。また、侵害後の攻撃活動が Qilin ランサムウェア・グループと関連していることも明らかになった。
脆弱性 CVE-2026-50751 を悪用する攻撃者は、非推奨となっている IKEv1 鍵交換プロトコルを使用するようにコンフィグされた環境を標的とする。
証明書検証のロジック欠陥を悪用する未認証のリモート攻撃者は、有効なユーザー・パスワードを使用せずに VPN セッションを確立し、すべての認証要件をバイパスできる。
この脆弱性は、Mobile Access/SSL VPN/Remote Access VPN/Spark Firewall のバージョン R80.20.X 〜 R82.10 に影響を及ぼす。この初期侵入は認証バイパスにより可能となるが、内部リソースへのアクセスや権限昇格においては、認証後の追加の操作が必要となる。
Check Point Research は 2026年6月4日の時点で、不審な活動の兆候を確認し調査を開始し、攻撃の痕跡が 2026年5月7日まで遡ることが判明している。
悪用の試みは 2026年6月上旬に急増し、世界中の数十の組織が標的となった。それぞれのインシデント・レスポンス・チームは、最初に悪用が確認された日付まで遡り、フォレンジック・ログの監査とコンフィグのレビューを優先的に実施する必要がある。
攻撃者は、Qilin Linux ランサムウェアのバイナリを使用し、自らが管理するインフラから悪意の ELF ファイルのダウンロードを試みていることから、中程度の確度で金銭目的の攻撃者と評価されている。また、ランサムウェア・オペレーターが、Command-and-Control (C2) 通信に Tox プロトコルを使用している可能性が高く、Palo Alto/Fortinet/F5 の VPN 脆弱性も並行して悪用しているとみられている。
一連の攻撃インフラは、Kaupo Cloud HK/Shock Hosting/Vultr Holdings にホストされており、一部のケースでは VPS の位置情報が被害組織の所在地と一致していた。
CVE-2026-50752 の発見
CVE-2026-50751 の調査中に、Check Point の自律型 AI コード・セキュリティ・プラットフォーム BLAST は、関連する脆弱性として CVE-2026-50752 (CVSS:7.4) を発見した。
この脆弱性も、非推奨となっている IKEv1 鍵交換における証明書検証に影響する。特定条件下では、サイト間 VPN 通信に対する中間者攻撃 (MitM) が可能となるが、現時点で実環境における悪用は確認されていない。予防措置としてユーザーに推奨されるのは、速やかな更新プログラムの適用である。
| CVE | Description | CVSS | Affected Products | In the Wild |
|---|---|---|---|---|
| CVE-2026-50751 | Auth bypass via IKEv1 certificate validation flaw | 9.3 | Mobile Access/SSL VPN, Remote Access VPN, Spark Firewall | YES |
| CVE-2026-50752 | MitM condition in IKEv1 certificate validation | 7.4 | Security Gateways, Spark Firewall | NO |
Indicators of Compromise (IOCs)
Malicious IPs:
- 45.77.149[.]152/209.182.225[.]136/38.60.157[.]139/162.33.177[.]101/45.76.26[.]42
- 144.208.127[.]155/38.54.88[.]201/38.54.107[.]167/66.42.99[.]200
File Hashes (MD5):
52fda5c1b9704544f32ee98d9060e68951d39aa39478beeac94f2d12f682ecce
緩和策
影響を受けるバージョンを利用している、すべての顧客に対して Check Point が強く推奨するのは、Security Gateways 向けホットフィックスを直ちに適用することである。迅速なホットフィックス適用が不可能な組織は、以下の暫定対策を実施する必要がある。
- レガシー・リモート・アクセス・クライアントのサポートを無効化する。
- Remote Access VPN 認証が IKEv2 のみとなるようコンフィグする。
- マシン証明書認証を必須化する。
- IPS を有効化し、最新のシグネチャを適用する。
訳者後書:一連のインシデントの原因となったのは、CVE-2026-50751 および CVE-2026-50752 に共通する、IKEv1 の証明書検証処理に存在するロジック上の欠陥です。特に CVE-2026-50751 では、認証に関わる検証が適切に行われないことで、有効なパスワードを持たない攻撃者であっても、VPN セッションを確立できる状態となっていました。問題の背景には、すでに非推奨となっている IKEv1 を利用し続けていた環境が存在したことも挙げられます。実際に攻撃者は、この欠陥を悪用して初期侵入を実現し、その後の活動へとつなげていました。VPN は外部から内部ネットワークへ接続する重要な仕組みであるため、認証や証明書の検証処理に不備が生じると、その影響は組織全体に及ぶ可能性があります。ご利用のチームは、ご注意ください。よろしければ、Check Point での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.