Lỗ hổng nghiêm trọng Check Point VPN bị khai thác trước khi có bản vá một tháng, liên quan đến ransomware Qilin

Check Point đã phát hành bản vá khẩn cấp vào thứ Hai để khắc phục một lỗ hổng nghiêm trọng cho phép bỏ qua xác thực (authentication bypass) ảnh hưởng đến các triển khai VPN truy cập từ xa (Remote Access VPN) và Mobile Access. Tuy nhiên, các tin tặc, bao gồm cả những kẻ thực hiện tấn công bằng ransomware, đã có một tháng lợi thế để khai thác lỗi này trước khi bản vá xuất hiện.

Theo Lotem Finkelstein, Phó chủ tịch Nghiên cứu của Check Point, các cuộc tấn công nhắm vào lỗ hổng này, được theo dõi dưới mã số CVE-2026-50751, đã bắt đầu từ ngày 7/5 và gia tăng vào đầu tháng 6. Nhà cung cấp phần mềm bảo mật đã phát hiện hoạt động đáng ngờ và bắt đầu điều tra lỗ hổng zero-day này vào ngày 4/6.

Chi tiết về cuộc tấn công

Finkelstein cho biết trong một bài đăng blog: "Chúng tôi quan sát thấy các dấu hiệu cho thấy việc khai thác chủ yếu giới hạn ở một số tương đối nhỏ các tổ chức bị nhắm mục tiêu (vài chục tổ chức trên toàn cầu), chủ yếu trong vài ngày qua."

Ông bổ sung rằng, ít nhất trong một trường hợp, các nhà điều tra đã quan sát thấy hoạt động sau khi bị xâm nhập liên quan đến một chi nhánh của ransomware Qilin. Cùng một nhóm tội phạm ransomware này cũng có khả năng đang khai thác các lỗ hổng liên quan đến VPN khác trong các sản phẩm của Palo Alto Networks, Fortinet và F5.

Nguyên nhân kỹ thuật và ảnh hưởng

CVE-2026-50751 xuất phát từ một điểm yếu trong luồng logic (logic-flow weakness) của quá trình xác thực chứng chỉ cho Remote Access và Mobile Access. Lỗi này cho phép tin tặc từ xa bỏ qua xác thực và thiết lập kết nối VPN truy cập từ xa mà không cần mật khẩu người dùng.

Lỗ hổng này ảnh hưởng đến Mobile Access/SSL VPNs, Remote Access VPNs và các tường lửa Spark được cấu hình để sử dụng giao thức trao đổi khóa IKEv1 đã bị loại bỏ.

Trong quá trình điều tra CVE-2026-50751 và các thành phần VPN bị ảnh hưởng, Check Point đã phát hiện ra một lỗ hổng khác, CVE-2026-50752, trong các sản phẩm Security Gateways và Spark Firewall của họ. Lỗi này do một lỗi trong logic xác thực chứng chỉ của phương thức trao đổi khóa IKEv1 đã bị loại bỏ, có thể dẫn đến các cuộc tấn công kiểu người trung gian (man-in-the-middle) trên cấu hình VPN site-to-site. Check Point cho biết họ chưa nhận được báo cáo nào về việc khai thác CVE-2026-50752 trong tự nhiên.

Khuyến nghị khắc phục

Check Point khuyến khích khách hàng đang chạy các cổng và tường lửa bị ảnh hưởng nên áp dụng các bản vá nóng (hotfixes). Nhà cung cấp cũng cung cấp các tùy chọn giảm thiểu thay thế cùng với hướng dẫn trong các tư vấn bảo mật.

Nhà cung cấp phần mềm cũng đã công bố danh sách các chỉ số bị xâm phạm (indicators of compromise), bao gồm địa chỉ IP của kẻ tấn công. Họ khuyến nghị khách hàng tìm kiếm trong nhật ký Check Point SmartConsole các nỗ lực xác thực chứng chỉ VPN có thể liên quan đến cơ sở hạ tầng của kẻ tấn công và tên chủ thể chứng chỉ đã quan sát được, ít nhất là trong giai đoạn từ ngày 7/5 đến ngày 5/6.