Vulnerabilidad crítica en VPN de Check Point permite eludir autenticación
Publicado el
Explotación de una vulnerabilidad crítica
Check Point ha emitido una advertencia sobre la explotación de una vulnerabilidad crítica que afecta a sus despliegues de Remote Access VPN y Mobile Access configurados con el protocolo de intercambio de claves IKEv1, que ha sido declarado obsoleto. Esta vulnerabilidad, registrada como CVE-2026-50751 y con una puntuación CVSS de 9.3, presenta una debilidad en el flujo de lógica durante la validación de certificados, permitiendo a un atacante remoto no autenticado eludir la autenticación de usuario y establecer una conexión VPN sin necesidad de una contraseña válida.
Check Point explicó que al aprovechar esta fallo lógico en la validación de certificados, un atacante puede iniciar una sesión de VPN sin poseer una contraseña válida, saltándose así los requisitos de autenticación. Sin embargo, se requiere actividad adicional post-autenticación para acceder a recursos internos o escalar privilegios.
Productos afectados
La vulnerabilidad afecta a las siguientes versiones de productos: - Security Gateways R82.10 Jumbo Hotfix Take 19 o inferior - R82 Jumbo Hotfix Take 103 o inferior - R81.20 Jumbo Hotfix Take 141 o inferior - R81.10 (EOS) - R81 (EOS) - R80.40 (EOS) - Spark Firewalls: R80.20.X (EOS), R81.10.X y R82.00.X
Para que se produzca la explotación exitosa, deben cumplirse ciertas condiciones: - Tener habilitado el acceso remoto o móvil. - IKEv1 debe estar activado para el acceso remoto. - Los gateways deben aceptar clientes de acceso remoto heredados. - No se requiere un certificado de máquina para las conexiones.
Actividad de explotación
Check Point informó que detectó indicios de actividad sospechosa el 4 de junio de 2026, con las primeras explosiones de explotación que se remontan al 7 de mayo de 2026. Desde entonces, se ha observado un aumento en los esfuerzos de explotación. Hasta ahora, la actividad se ha limitado a unas pocas docenas de organizaciones a nivel global. En un caso, la fase de post-explotación se ha asociado con un afiliado del ransomware Qilin.
La compañía añadió que se cree que esta infraestructura de actores de amenaza está aprovechando otras vulnerabilidades relacionadas con VPN, como las publicadas por Palo Alto Networks, Fortinet y F5. Se identificaron indicadores que sugieren que el actor podría estar utilizando el protocolo Tox para la comunicación, un patrón comúnmente asociado con actores de ransomware motivados financieramente.
Infraestructura y objetivos
Un aspecto clave de la explotación es el uso de una infraestructura de servidores privados virtuales (VPS). Esto implica que los atacantes dependen de servidores VPS localizados en un país específico para dirigirse a organizaciones dentro de sus fronteras. Una vez que se establece el acceso, se ha encontrado que los atacantes intentan descargar archivos ELF maliciosos desde infraestructuras controladas por ellos.
Vulnerabilidades adicionales
Un análisis más detallado de los componentes VPN afectados ha revelado una segunda vulnerabilidad, CVE-2026-50752, que podría permitir un ataque de intermediario (AitM) en conexiones VPN sitio a sitio. No hay evidencia de que esta falla haya sido explotada en ataques reales hasta la fecha.
Se recomienda a las organizaciones que utilicen los productos afectados que tomen medidas inmediatas para mitigar el riesgo y actualicen sus sistemas a versiones seguras para protegerse contra estas vulnerabilidades.