Jei jūsų įmonė naudoja „Check Point" VPN, o atnaujinimo nepadarėte nuo gegužės pradžios — įsilaužėliai galbūt jau viduje. Ir jie ne vagia tyliai, o reikalauja išpirkos.
Birželio 9 dieną JAV Kibernetinio saugumo ir infrastruktūros apsaugos agentūra (CISA) įtraukė pažeidžiamumą CVE-2026-50751 į savo Žinomų išnaudojamų pažeidžiamumų katalogą — sąrašą spragų, kurias federalinės įstaigos privalo užlopyti per nustatytą laiką. Šiam atvejui terminas — birželio 11 diena. Trys dienos.
Skubos priežastis turi vardą. „Qilin" — išpirkos reikalaujančių programišių grupuotė, veikianti pagal „Ransomware-as-a-Service" modelį — jau patvirtintai įsilaužė į kelias dešimtis organizacijų būtent per šią spragą. „Qilin" nuo 2022-ųjų rugpjūčio savo tamsiojo interneto nutekinimo svetainėje paskelbė daugiau nei 400 aukų. Dabar jų sąrašas pailgėjo.
// reklamaČia gali būti jūsų reklamaSusisiekite →Pati spraga techniškai slypi sename IKEv1 raktų pasikeitimo protokole, kurį „Check Point" jau seniai laiko pasenusiu. Problema ta, kad daugybė organizacijų jo vis dar neišjungė. Užpuolikui nereikia jokio slaptažodžio — jis gali apeiti autentifikaciją ir užmegzti nuotolinės prieigos VPN ryšį su visais tinklo ištekliais, prie kurių tas VPN vartai suteikia prieigą.
„Check Point" saugumo atnaujinimus išleido dar pirmadienį, pažymėdama, kad atakos prasidėjo gegužės 7-ąją ir suintensyvėjo savaitgalį prieš pranešimą. Nors oficialiai patvirtinta „kelios dešimtys" paveiktų organizacijų, realus skaičius gali būti didesnis — daugelis aukų apie įsilaužimą sužino tik tada, kai jų duomenys pasirodo nutekinimo svetainėse.
Tai ne pirmas kartas, kai CISA žymi „Check Point" spragą kaip aktyviai išnaudojamą. Prieš dvejus metus agentūra į katalogą įtraukė CVE-2024-24919 — tuomet „Check Point Quantum" saugumo vartų pažeidžiamumą, kurį išnaudojo „NailaoLocker" išpirkos programa. VPN įranga išlieka vienu mėgstamiausių įsilaužėlių taikinių, o seni protokolai — jų mėgstamiausias įrankis.
Ką daryti, jei esate „Check Point" klientas? Pirma, nedelsiant įdiekite oficialų atnaujinimą. Antra, jei dėl kokių nors priežasčių to padaryti negalite, „Check Point" pateikė laikinus sprendimus: pašalinkite senojo nuotolinės prieigos kliento palaikymą, perjunkite VPN autentifikaciją tik į IKEv2, įjunkite IPS ir sukonfigūruokite privalomą mašinos sertifikatų autentifikaciją.
Nors CISA direktyva formaliai galioja tik JAV federalinėms įstaigoms, agentūra aiškiai paragino ir privataus sektoriaus organizacijas nedelsti. Kai užpuolikai jau viduje, trys dienos gali būti per ilgai.
Dažnai užduodami klausimai
- Ar ši spraga paveikia paprastus namų vartotojus?
- Paprastai ne. CVE-2026-50751 veikia tik prieš „Check Point Remote Access VPN" ir „Mobile Access" diegimus, kuriuos naudoja organizacijos, o ne privatūs asmenys. Tačiau jei dirbate nuotoliniu būdu ir prisijungiate prie įmonės tinklo per „Check Point VPN", jūsų darbdavys turėtų nedelsdamas atnaujinti sistemą.
- Kaip sužinoti, ar organizacija buvo paveikta?
- „Check Point" rekomenduoja peržiūrėti VPN prisijungimų žurnalus nuo gegužės 7 dienos ir ieškoti neįprastų prisijungimų, ypač iš IP adresų, nesusijusių su organizacija. Taip pat verta patikrinti, ar tinklo viduje nebuvo neįprasto duomenų srauto.
Šaltiniai
- CISA orders feds to patch Check Point flaw exploited by ransomware gangsBleepingcomputer · 2026
- CISA Known Exploited Vulnerabilities Catalog — CVE-2026-50751Cisa · 2026
