سوءاستفاده از آسیب‌پذیری روز-صفر Check Point VPN توسط باج‌افزار Qilin — CISA نصب وصله فدرال را تا ۱۱ ژوئن الزامی کرد | IRCNF - Intelligent Reliable Custom Next-gen Frameworks

تحقیقات Check Point در ۸ ژوئن تأیید کرد که یک آسیب‌پذیری روز-صفر در محصولات Remote Access VPN این شرکت — با شناسه CVE-2026-50751 — تحت بهره‌برداری فعال قرار دارد و حداقل یک مورد تأییدشده به یکی از وابستگان باج‌افزار Qilin مرتبط است. آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA) همان روز این نقص را به کاتالوگ آسیب‌پذیری‌های شناخته‌شده (KEV) خود اضافه کرد و یک دستور الزام‌آور صادر نمود که سازمان‌های فدرال آمریکا باید وصله فوری موجود را تا ۱۱ ژوئن اعمال کنند — یک پنجره ۷۲ ساعته که شدت تهدید را نشان می‌دهد.

این آسیب‌پذیری از نوع عبور از احراز هویت است و بر استقرارهای Check Point Remote Access VPN، Mobile Access و Spark Firewall که از پروتکل منسوخ IKEv1 برای تبادل کلید استفاده می‌کنند، تأثیر می‌گذارد. مهاجم با بهره‌برداری از این نقص می‌تواند بدون داشتن رمز عبور معتبر کاربر، یک جلسه VPN کاملاً احراز هویت‌شده ایجاد کند. این کار با سوءاستفاده از یک خطای منطقی در فرایند اعتبارسنجی گواهی انجام می‌شود. اتصال در لایه VPN با موفقیت برقرار می‌شود؛ برای رسیدن به سیستم‌های داخلی، به بهره‌برداری‌های اضافی پس از اتصال نیاز است، اما عبور اولیه، آنچه باید اولین دیوار سخت در برابر دسترسی غیرمجاز باشد را از میان برمی‌دارد.

زمان‌بندی و دامنه

Check Point اعلام کرد که اولین بار در ۴ ژوئن ۲۰۲۶ فعالیت مشکوک را شناسایی کرده است، اما شواهد پزشکی قانونی نشان می‌دهد بهره‌برداری اولیه از ۷ مه آغاز شده بود. بهره‌برداری فعال در اوایل ژوئن تشدید شد، زیرا بازیگران تهدید فاصله بین کشف و افشای عمومی را تشخیص دادند. تا زمان هشدار ۸ ژوئن، بهره‌برداری در چند ده سازمان در سراسر جهان تأیید شده است. تنها یک حادثه به‌طور قطعی به فعالیت پس از نفوذ یک وابسته باج‌افزار Qilin نسبت داده شده است — اما با توجه به سرعت عملیاتی Qilin و موانع پایین برای بهره‌برداری، احتمال افزایش این شماره وجود دارد.

Qilin یک عملیات باج‌افزار به‌عنوان سرویس (RaaS) است که حداقل از سال ۲۰۲۲ فعال بوده و در ۲۰۲۵-۲۰۲۶ به‌طور قابل توجهی سرعت حملات خود را افزایش داده است. این گروه به اخاذی دوگانه معروف است — رمزگذاری فایل‌ها و هم‌زمان استخراج داده‌ها برای اعمال فشار در مذاکرات باج‌افزار. وابستگان آنها به‌طور منظم زیرساخت VPN و دسترسی از راه دور را به‌عنوان بردار نفوذ اولیه هدف قرار می‌دهند، که CVE-2026-50751 را به گزینه‌ای طبیعی برای کتاب بازی آنها تبدیل می‌کند.

یک آسیب‌پذیری دوم در همان مسیر کد

در جریان تحقیق درباره CVE-2026-50751، تیم تحقیقاتی Check Point از پلتفرم امنیتی کد عاملی BLAST خود برای انجام یک ممیزی گسترده از مؤلفه‌های VPN تحت تأثیر استفاده کرد. این بررسی یک آسیب‌پذیری دوم را آشکار ساخت: CVE-2026-50752 با امتیاز CVSS 7.4. این نقص نیز در مسیر کد اعتبارسنجی گواهی IKEv1 منسوخ قرار دارد و می‌تواند تحت پیکربندی‌های خاص، یک مهاجم از نوع مرد میانی را قادر به تداخل در ارتباطات VPN بین سایت‌ها کند. Check Point تاکنون بهره‌برداری فعال از CVE-2026-50752 را مشاهده نکرده است، اما آن را به‌طور پیشگیرانه در همان بسته وصله فوری اصلاح کرده است.

پروتکل IKEv1 سال‌ها پیش توسط IETF به نفع IKEv2 منسوخ شد و حضور آن به‌عنوان ریشه هر دو آسیب‌پذیری، الگویی تکراری در امنیت سازمانی را نشان می‌دهد: پشتیبانی از پروتکل‌های منسوخ برای سازگاری با نسخه‌های قبلی، به سطح حمله‌ای پایدار تبدیل می‌شود. سازمان‌هایی که IKEv1 را در محیط‌های Check Point خود غیرفعال کرده‌اند، تحت تأثیر هیچ‌یک از CVEها قرار نمی‌گیرند.

محصولات تحت تأثیر و وصله‌های فوری

این آسیب‌پذیری محصولات Check Point را که با Remote Access VPN یا Mobile Access پیکربندی شده‌اند و اتصالات IKEv1 را می‌پذیرند یا بدون نیاز به گواهی ماشین، کلاینت‌های قدیمی دسترسی از راه دور را قبول می‌کنند، تحت تأثیر قرار می‌دهد. Check Point وصله‌های فوری را برای همه خطوط محصول پشتیبانی‌شده منتشر کرده است. BleepingComputer و SecurityWeek گزارش می‌دهند که این شرکت همچنین برای سازمان‌هایی که قادر به اعمال فوری وصله نیستند، اقدامات کاهشی — عمدتاً غیرفعال کردن پذیرش کلاینت‌های قدیمی و IKEv1 در تنظیمات دروازه VPN — ارائه کرده است.

مدیران سیستم باید این وصله را اضطراری تلقی کنند، نه یک تعمیر و نگهداری برنامه‌ریزی‌شده. در دسترس بودن عمومی یک ورودی KEV از CISA و ارتباط تأییدشده با باج‌افزار به این معنی است که کد بهره‌برداری احتمالاً در روزهای آینده به‌طور گسترده‌تری در جوامع بازیگران تهدید به اشتراک گذاشته خواهد شد. سازمان‌هایی که زیرساخت VPN Check Point متصل به اینترنت دارند و هنوز وصله فوری را اعمال نکرده‌اند، باید قبل از آخر هفته این کار را انجام دهند.