أصدرت شركة Check Point تحذيرًا بشأن استغلال نشط لثغرة خطيرة في أنظمة Remote Access VPN وMobile Access عند تفعيل بروتوكول IKEv1 القديم. الثغرة، المسجلة تحت رقم CVE-2026-50751 بدرجة خطورة 9.3، ناتجة عن خلل في منطق التحقق من الشهادات، ما يسمح للمهاجمين بإنشاء جلسة VPN دون الحاجة إلى كلمة مرور صحيحة.
وأوضحت الشركة أن الاستغلال يتطلب توافر عدة شروط، منها تفعيل الوصول عن بُعد عبر IKEv1، قبول العملاء القدامى، وعدم فرض شهادة جهاز للاتصال.
المنتجات المتأثرة
تشمل قائمة الإصدارات المتأثرة:
- Security Gateways: R82.10 Jumbo Hotfix Take 19 أو أقل، R82 Jumbo Hotfix Take 103 أو أقل، R81.20 Jumbo Hotfix Take 141 أو أقل، إضافة إلى الإصدارات المنتهية R81.10 وR81 وR80.40.
- Spark Firewalls: R80.20.X (منتهية)، R81.10.X، وR82.00.X.
نشاط الاستغلال والجهات المهاجمة
رصدت الشركة أولى مؤشرات النشاط المشبوه في 4 يونيو 2026، مع دلائل على استغلال يعود إلى 7 مايو. وقد استهدفت الهجمات بضع عشرات من المؤسسات عالميًا، بينها حالة ارتبطت بجهة تابعة لبرمجية الفدية Qilin.
تشير التحقيقات إلى أن البنية التحتية للمهاجمين تعتمد على خوادم VPS متمركزة جغرافيًا لاستهداف مؤسسات داخل حدود معينة، مع محاولات لتنزيل ملفات ELF خبيثة من خوادم يسيطر عليها المهاجمون. كما رُصدت مؤشرات على استخدام بروتوكول Tox للتواصل، وهو أسلوب شائع بين مجموعات الفدية ذات الدوافع المالية.
ثغرة ثانية محتملة
خلال المراجعة، اكتشفت Check Point ثغرة أخرى مسجلة تحت رقم CVE-2026-50752 بدرجة خطورة 7.4، قد تسمح بتنفيذ هجوم “الرجل في الوسط” (AitM) على اتصالات VPN بين المواقع. حتى الآن، لا توجد أدلة على استغلالها في هجمات فعلية.
