Check Point advirtió sobre la explotación activa de una vulnerabilidad crítica que afecta las implementaciones de acceso móvil y VPN de acceso remoto que están configuradas para utilizar el protocolo de intercambio de claves IKEv1 obsoleto.
Esta vulnerabilidad, rastreada como CVE-2026-50751 (puntaje CVSS: 9.3), es un caso de vulnerabilidad de flujo lógico en la validación de certificados que permite a un atacante remoto no autenticado eludir la autenticación del usuario y establecer una conexión VPN de acceso remoto sin una contraseña de usuario válida.
«Al explotar una falla lógica en la validación de certificados, un atacante puede establecer una sesión VPN sin una contraseña válida, evitando efectivamente los requisitos de autenticación», dijo Check Point. «Se requiere actividad adicional posterior a la autenticación para acceder a recursos internos o escalar privilegios».
Esta deficiencia afecta a los siguientes productos y versiones:
Security Gateway R82.10 Jumbo Hotfix toma 19 y menos, R82 Jumbo Hotfix toma 103 y menos, R81.20 Jumbo Hotfix toma 141 y menos, R81.10 (EOS), R81 (EOS) y R80.40 (EOS) Spark Firewall: R80.20.X (EOS), R81.10.X y R82.00.X
Para que la explotación tenga éxito se deben cumplir las siguientes condiciones:
El acceso remoto VPN o el acceso móvil están habilitados. IKEv1 está habilitado para el acceso remoto. La puerta de enlace acepta clientes de acceso remoto heredados. La puerta de enlace no requiere certificados de máquina para las conexiones.
La empresa de ciberseguridad israelí dijo que observó por primera vez signos de actividad sospechosa el 4 de junio de 2026, y que el primer exploit observado se remonta al 7 de mayo de 2026. Se dice que los esfuerzos de explotación se han intensificado a partir de este mes.
Check Point agregó que la actividad de explotación se limitó a «docenas de organizaciones objetivo en todo el mundo». En un caso, la fase posterior a la explotación estuvo asociada con un afiliado de ransomware Qilin.
«La infraestructura de este atacante parece estar explotando otras vulnerabilidades relacionadas con VPN, incluidas las publicadas por Palo Alto (Networks), Fortinet y F5», dijo la compañía. «Hemos identificado indicadores de que los atacantes pueden estar utilizando el protocolo Tox para comunicarse, un patrón comúnmente asociado con atacantes de ransomware con motivación financiera».
Un punto clave es el uso de infraestructura de servidor privado virtual (VPS) para llevar a cabo el ataque. Específicamente, esto implica aprovechar los servidores VPS ubicados en un país específico para apuntar a organizaciones dentro de sus fronteras. Una vez que se estableció el acceso, se descubrió que el atacante intentaba descargar un archivo ELF malicioso de la infraestructura controlada por el atacante.
Algunos aspectos de estos esfuerzos se superponen con el informe Ctrl-Alt-Intel del mes pasado que destacó los grupos de ransomware que explotan los dispositivos VPN corporativos para el acceso inicial.
«Hasta la fecha, hasta donde sabemos, no hay evidencia de que esta vulnerabilidad haya sido ampliamente explotada por otros atacantes», dijo Check Point Research a The Hacker News por correo electrónico. «Esta actividad es claramente oportunista y se dirige a organizaciones vulnerables más que distintivas».
Una investigación más exhaustiva de los componentes VPN afectados reveló una segunda vulnerabilidad, CVE-2026-50752 (puntuación CVSS: 7,40). Esto podría permitir un ataque de intermediario (AitM) en las conexiones VPN de sitio a sitio. No hay evidencia de que esta falla haya sido aprovechada en un ataque real.
(Este artículo se actualizó después de su publicación con una respuesta de Check Point Research).
Source link
