El 8 de juny de 2026, Check Point va publicar un avís de seguretat d'emergència sobre CVE-2026-50751 (CVSS 9.3), una vulnerabilitat crítica de bypass d'autenticació en el protocol IKEv1 — un protocol d'intercanvi de claus de 1998 que porta anys oficialment deprecat però que segueix actiu en milers d'entorns empresarials per compatibilitat amb dispositius heredats. L'explotació activa va començar el 7 de maig, va escalar als primers dies de juny i un dels casos documentats està vinculat amb mitjana confiança a un afiliat del grup Qilin ransomware — el mateix grup que al maig va atacar Ahorramas. El patró és idèntic al que vam veure amb Palo Alto CVE-2026-0257 la setmana passada.

Què se sap de CVE-2026-50751 i l'explotació activa confirmada?

  • Vulnerabilitat: error lògic en la validació de certificats del protocol IKEv1 en els productes Check Point Remote Access VPN, Mobile Access i Spark Firewalls. Un atacant remot no autenticat pot explotar el error per establir una sessió VPN sense contrasenya vàlida.
  • CVSS 9.3: sense autenticació requerida, explotable de forma remota.
  • Productes i versions afectades: Security Gateways R82.10 Jumbo Hotfix Take 19 o inferior, R82 Jumbo Hotfix Take 103 o inferior, R81.20 Jumbo Hotfix Take 141 o inferior, R81.10/R81/R80.40 (EOS). Spark Firewalls R80.20.X, R81.10.X i R82.00.X.
  • Explotació activa des del 7 de maig de 2026. Els intents d'explotació van escalar notablement als primers dies de juny.
  • Qilin ransomware: un cas documentat involucra activitat post-comproms que Check Point vincula amb mitjana confiança a un afiliat del grup Qilin.
  • Hotfixes disponibles per a versions suportades. Les versions EOS no rebran pedàç.

Per què els firewalls Check Point amb IKEv1 són objectiu ara mateix

  1. IKEv1 és un protocol de 1998 que ningú hauria de seguir fent servir, però milers d'empreses ho fan. Segueix actiu per compatibilitat amb dispositius heredats. CVE-2026-50751 és la conseqüència directa d'aquest deute tècnic.
  2. Check Point Security Gateways és un dels firewalls més instal·lats en empreses espanyoles. Un bypass d'autenticació al firewall perimetral és un comproms del perímetre complet.
  3. El mateix patró que Palo Alto CVE-2026-0257. Dos firewalls líders amb vulnerabilitats de bypass de VPN explotades activament en el mateix mes.
  4. Qilin com a actor d'amença actiu a Espanya. El grup que va atacar Ahorramas al maig opera activament en entorns europeus.

Com funciona l'atac: del bypass d'IKEv1 a l'accés VPN no autoritzat

  1. L'atacant identifica firewalls Check Point exposats a internet amb IKEv1 habilitat.
  2. Explota l'error lògic en la validació de certificats per superar l'autenticació.
  3. Estableix una sessió VPN no autoritzada que apareix com a tràfic legítim als logs.
  4. Obté accés a la xarxa interna i executa moviment lateral cap al desplegament de ransomware.

Lliçons clau i checklist de mitigació per a administradors de Check Point

Pas 1 — Verificar si l'entorn és vulnerable:

  • Verificar si el Security Gateway té habilitat IKEv1 per a connexions d'accés remot a SmartConsole.
  • Comprovar la versió del Jumbo Hotfix Take instal·lat.

Pas 2 — Aplicar el hotfix d'emergència:

  • R82.10 Jumbo Hotfix Take 20 o superior, R82 Jumbo Hotfix Take 104 o superior, R81.20 Jumbo Hotfix Take 142 o superior.
  • Versions EOS: no rebran hotfix. L'única mitigació permanent és migrar a una versió suportada.

Pas 3 — Mitigacions temporals:

  • Eliminar el suport per a clients d'accés remot heredats.
  • Configurar Remote Access VPN Authentication per requerir només IKEv2.
  • Establir l'autenticació amb certificat de màquina com a obligatòria.
  • Habilitar IPS i descarregar les darreres signatures.

Pas 4 — Revisió forense des del 7 de maig:

  • Revisar els logs de connexions VPN des del 7 de maig.
  • Cercar tràfic lateral inusual des d'IPs del pool VPN.
  • Verificar si hi ha comptes d'usuari creats o modificacions de configuració des del maig.

La ciberseguretat com a prioritat estratègica

CVE-2026-50751 a Check Point i CVE-2026-0257 a Palo Alto publicats amb una setmana de differència, tots dos amb bypass d'autenticació VPN i explotació activa real. El missatge és el mateix que el DBIR 2026 va confirmar la setmana passada: els dispositius de perímetre corporatiu són la superfície d'atac més explotada de 2026.

Apolo Cybersecurity: protecció de perímetre i avaluació de firewalls Check Point davant CVE-2026-50751

A Apolo Cybersecurity ajudem organitzacions amb infraestructura Check Point a verificar l'exposició davant CVE-2026-50751: revisió de la configuració IKEv1, aplicació del hotfix d'emergència, pla de migració per a versions EOS, revisió forense de logs VPN des del 7 de maig, i anàlisi de tràfic lateral post-comproms.

__wf_reserved_inherit
Prev Post
Next Post

Tens dubtes? Estem encantats d'ajudar!

POSEU-VOS EN CONTACTE AMB NOSALTRES AVUI MATEIX!
info@apolocybersecurity.com
Responsable: Apolo Analytics S.L.
Finalitat: Respondre al teu missatge i emmagatzemar-lo en una base de dades per gestionar la teva sol·licitud.
Legitimació: Consentiment de l'interessat a l'hora de presentar el formulari.
Destinataris: Les dades no seran cedides a tercers, llevat que s'exigeixi legalment.
Drets: Pot exercir els seus drets d'accés, rectificació i supressió, entre d'altres, enviant un correu electrònic a secretaria@apolocybersecurity.Com.
Informació addicional: Podeu consultar la informació completa al nostre Política de privacitat.

Gràcies!

El vostre missatge ha estat rebut correctament.
Ups! Alguna cosa va sortir malament en enviar el formulari.
T'esperem!
Programar una trucada
Project photo
Envia'ns un correu electrònic
Project photo
+34 937948378
Project photo
Carrer 27 del BZ, 10–16, Sector BZ Zona Franca, 08040 Barcelona
Project photo
PREGUNTES FREQÜENTScontacteTERMES I CONDICIONSTreballa amb nosaltres
Accelerada per:
Certificacions:
Light Eyes forma part de la ciberseguretat Apollo
Renúnciapolítica de privacitatCookiespolítica de seguretat de la informació
Privacy Settings
Copyright © 2025 Apollo Cybersecurity