事件概述
2026年6月8日,以色列网络安全厂商Check Point发布紧急安全公告(sk185033),披露其Remote Access VPN和Mobile Access产品中存在一个严重的身份验证绕过漏洞,编号CVE-2026-50751。该漏洞允许未经验证的远程攻击者在无需任何凭据的情况下,直接绕过身份验证机制建立VPN连接,进而渗透企业内网。
更令人警惕的是,该漏洞自2026年5月7日起已遭到在野利用,且攻击活动在6月初出现明显激增。Check Point安全研究团队已确认至少一起事件中,攻击者利用该漏洞作为初始入口,随后部署了Qilin(麒麟)勒索软件,对企业发起勒索攻击。
漏洞技术分析
CVE-2026-50751的核心问题出在Check Point VPN产品对已废弃的IKEv1(Internet Key Exchange version 1)密钥交换协议的处理逻辑上。当安全网关配置为接受旧版远程访问客户端连接,且未强制要求机器证书认证时,攻击者可以通过构造特殊的IKEv1协商数据包,完全绕开身份验证环节。
具体而言,满足以下三个条件的企业部署面临风险:
- VPN网关仍启用了IKEv1协议支持(该协议已于2005年被IKEv2取代)
- 安全网关允许旧版远程访问客户端建立连接
- 未将机器证书认证设为强制要求
Check Point同时披露了关联漏洞CVE-2026-50752,这是一个IKEv1证书验证缺陷,可被用于站点到站点VPN连接的中间人(MitM)攻击。目前该漏洞尚未发现在野利用,但其存在进一步扩大了IKEv1协议的安全风险面。
攻击时间线
| 时间 | 事件 |
|---|---|
| 2026年5月7日 | 首次检测到利用CVE-2026-50751的攻击活动 |
| 2026年6月初 | 攻击活动显著激增,波及全球范围 |
| 2026年6月8日 | Check Point发布安全公告和热修复补丁 |
| 2026年6月8日 | 确认Qilin勒索软件团伙利用该漏洞发起攻击 |
Qilin勒索软件:一个不容忽视的威胁
Qilin(麒麟)勒索软件团伙自2022年8月开始活跃,采用RaaS(勒索软件即服务)运营模式,截至目前已在暗网泄露站点公开了近400个受害者信息。其知名受害者名单包括日产(Nissan)、朝日啤酒(Asahi)、Lee Enterprises、Synnovis医疗集团以及澳大利亚法院服务部等。此次将Check Point VPN零日漏洞纳入攻击武器库,标志着该团伙的攻击能力再次升级。
从攻击链路来看,Qilin的攻击模式非常典型:利用VPN身份验证绕过获取初始访问权限后,进行内网横向移动、窃取敏感数据,最终部署勒索软件加密关键系统。这种"先窃密后加密"的双重勒索策略,对企业的威胁远大于单纯的加密勒索。
为什么企业需要高度警惕
VPN设备向来是攻击者的"头号目标"之一。作为连接企业内网与外部世界的关键通道,VPN一旦被突破,等于将企业内网大门敞开给攻击者。据Fortinet《2026年全球威胁态势研究报告》数据显示,VPN相关漏洞在2025年的在野利用量较2024年增长了40%以上。
对于国内企业而言,以下几点需要特别关注:
- Check Point在中国有相当规模的用户基数,尤其是在金融、能源、制造等行业的中大型企业中
- IKEv1配置普遍存在——很多企业的VPN配置长期未做安全审计,为了兼容老旧设备而保留了IKEv1支持
- 零日窗口期仍在持续——补丁刚刚发布,大量企业尚未完成修复,攻击者正利用这个时间窗口集中攻击
修复与缓解措施
首选方案:立即应用官方补丁。Check Point已通过sk185033公告发布了针对CVE-2026-50751的热修复补丁。所有使用Remote Access VPN、Mobile Access或Spark防火墙的企业应第一时间安装更新。
临时缓解措施(适用于无法立即打补丁的场景):
- 关闭对旧版远程访问客户端的支持,迁移至最新版本客户端
- 将Remote Access VPN身份验证全局属性配置为仅使用IKEv2
- 强制启用机器证书认证(Machine Certificate Authentication)
- 启用IPS(入侵防御系统)并下载最新签名
- 检查VPN日志,排查2026年5月7日以来的异常连接记录
我们的建议与思考
从CVE-2026-50751事件中,我们可以提炼出几个关于企业VPN安全治理的深层教训:
第一,废弃协议就是安全隐患。IKEv1于2005年被IKEv2取代,距今已有21年,但大量企业仍"图省事"保留着IKEv1支持。老旧协议在设计时无法预见当前攻击技术,其安全假设早已被攻破。企业应建立定期的VPN配置安全审计机制,对过时协议和算法做"减法"而非"加法"。
第二,多因素认证的重要性再次凸显。本漏洞虽有机器证书认证作为防护屏障,但前提是必须设为"强制"。很多企业虽然配置了证书认证,却设置为"可选",导致防护形同虚设。强制MFA/证书认证应成为VPN部署的基线标准,而非可选项。
第三,攻击者总是比防御者更"勤奋"。该漏洞在被公开披露前,攻击者已活跃利用了整整一个月。这再次验证了"零日威胁"的现实性——企业不能仅依赖厂商公告和补丁窗口,还需要主动的威胁情报监测和纵深防御体系。
作为长期服务于北京地区企业IT运维的团队,我们建议各位IT管理员:立即排查公司内部是否使用Check Point VPN产品,如使用,第一时间评估受影响的配置条件并采取上述措施。如有技术疑问,欢迎通过我们的网站留言板或电话联系,我们将提供专业的技术建议。