ثغرة يوم صفر في VPN من Check Point يستغلها برنامج الفدية Qilin — CISA تأمر الجهات الفيدرالية بتثبيت التصحيح بحلول 11 يونيو | IRCNF - Intelligent Reliable Custom Next-gen Frameworks

أكدت أبحاث Check Point في 8 يونيو أن ثغرة يوم صفر في منتجات Remote Access VPN الخاصة بها — المسجلة باسم CVE-2026-50751 — تتعرض للاستغلال النشط، مع تأكيد حالة واحدة على الأقل مرتبطة بأحد تابعي برنامج الفدية Qilin. أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) الثغرة إلى كتالوج الثغرات المستغلة المعروفة (KEV) لديها في نفس اليوم، وأصدرت توجيهاً ملزماً يتطلب من الوكالات الفيدرالية الأمريكية تطبيق التصحيح العاجل المتاح بحلول 11 يونيو — وهي نافذة مدتها 72 ساعة تعكس شدة التهديد.

الثغرة هي من نوع تجاوز المصادقة وتؤثر على عمليات نشر Check Point Remote Access VPN وMobile Access وSpark Firewall التي تم تكوينها لاستخدام بروتوكول تبادل المفاتيح القديم IKEv1. يمكن للمهاجم استغلال الثغرة لإنشاء جلسة VPN موثقة بالكامل دون امتلاك كلمة مرور صالحة للمستخدم، وذلك عن طريق استغلال خطأ منطقي في عملية التحقق من الشهادة. ينجح الاتصال في طبقة VPN؛ ويتطلب الوصول إلى الأنظمة الداخلية استغلالاً إضافياً بعد الاتصال، لكن التجاوز الأولي يزيل ما ينبغي أن يكون أول جدار صلب ضد الوصول غير المصرح به.

الجدول الزمني والنطاق

تقول Check Point إنها اكتشفت نشاطاً مشبوهاً لأول مرة في 4 يونيو 2026، لكن الأدلة الجنائية تشير إلى أن الاستغلال الأولي بدأ في وقت مبكر من 7 مايو. تصاعد الاستغلال النشط خلال أوائل يونيو مع إدراك الجهات التهديدية للفجوة بين الاكتشاف والإفصاح العام. وحتى إصدار التحذير في 8 يونيو، تم تأكيد الاستغلال في عشرات المؤسسات عالمياً. تم نسب حادثة واحدة فقط بشكل قاطع إلى نشاط ما بعد الاختراق من قبل تابع لبرنامج الفدية Qilin — ولكن بالنظر إلى وتيرة عمليات Qilin وانخفاض حاجز الاستغلال، فمن المرجح أن يرتفع هذا الرقم.

Qilin هي عملية برنامج فدية كخدمة (RaaS) نشطة منذ عام 2022 على الأقل وزادت بشكل كبير من معدل هجماتها في 2025-2026. تشتهر المجموعة بالابتزاز المزدوج — تشفير الملفات مع استخراج البيانات أيضاً للاستفادة منها في مفاوضات الفدية. يستهدف تابعوها بانتظام البنية التحتية لـ VPN والوصول عن بعد كناقل دخول أولي، مما يجعل CVE-2026-50751 مناسبة تماماً لدفتر خططهم.

ثغرة ثانية تم العثور عليها في نفس مسار الكود

أثناء التحقيق في CVE-2026-50751، استخدم فريق أبحاث Check Point منصة BLAST للأمان الكودي العامل (agentic) لإجراء تدقيق موسع لمكونات VPN المتأثرة. كشف هذا المراجعة عن ثغرة ثانية: CVE-2026-50752 بتقييم CVSS 7.4. توجد هذه الثغرة أيضاً في مسار كود التحقق من شهادة IKEv1 القديم ويمكن أن تمكن مهاجماً من نوع الرجل في الوسط من التدخل في اتصالات VPN بين المواقع في ظل تكوينات محددة. لم ترصد Check Point استغلالاً نشطاً لـ CVE-2026-50752، لكنها قامت بتصحيحها استباقياً في نفس حزمة التصحيح العاجل.

تم إهمال بروتوكول IKEv1 من قبل IETF لصالح IKEv2 منذ سنوات، ووجوده كسبب جذري لكلتا الثغرات يؤكد نمطاً متكرراً في أمن المؤسسات: دعم البروتوكولات المهملة للتوافق مع الإصدارات السابقة يصبح سطح هجوم دائم. المؤسسات التي عطلت IKEv1 في بيئات Check Point الخاصة بها لا تتأثر بأي من CVE.

المنتجات المتأثرة والتصحيحات العاجلة

تؤثر الثغرة على منتجات Check Point التي تم تكوينها مع Remote Access VPN أو Mobile Access والتي تقبل اتصالات IKEv1 أو تقبل عملاء الوصول عن بعد القدامى دون الحاجة إلى شهادة جهاز. أصدرت Check Point تصحيحات عاجلة لجميع خطوط المنتجات المدعومة. ذكر BleepingComputer وSecurityWeek أن الشركة قدمت أيضاً إجراءات تخفيف للمؤسسات غير القادرة على تطبيق التصحيح فوراً — خاصة تعطيل قبول العملاء القدامى و IKEv1 في تكوين بوابة VPN.

يجب على المسؤولين التعامل مع هذا التصحيح كحالة طارئة، وليس كصيانة مجدولة. التوفر العام لإدخال KEV من CISA والارتباط المؤكد ببرنامج الفدية يعني أن كود الاستغلال من المرجح أن يتم مشاركته على نطاق أوسع في مجتمعات الجهات التهديدية خلال أيام. المؤسسات التي لديها بنية تحتية لـ Check Point VPN مواجهة للإنترنت ولم تقم بعد بتطبيق التصحيح العاجل يجب أن تفعل ذلك قبل نهاية الأسبوع.