Check Point advirtió sobre la explotación activa de una vulnerabilidad crítica que afecta las implementaciones de VPN de acceso remoto y acceso móvil que están configuradas para utilizar el protocolo de intercambio de claves IKEv1 obsoleto.
La vulnerabilidad, rastreada como CVE-2026-50751 (Puntuación CVSS: 9,3), es un caso de debilidad del flujo lógico en la validación de certificados que permite a un atacante remoto no autenticado eludir la autenticación del usuario y establecer una conexión VPN de acceso remoto sin una contraseña de usuario válida.
«Al explotar una falla lógica en la validación de certificados, un atacante puede establecer una sesión VPN sin poseer una contraseña válida, evitando efectivamente los requisitos de autenticación», dijo Check Point. «Se requiere actividad adicional posterior a la autenticación para acceder a recursos internos o escalar privilegios».
La deficiencia afecta a los siguientes productos y versiones:
- Security Gateways R82.10 Jumbo Hotfix toma 19 o menos, R82 Jumbo Hotfix toma 103 o menos, R81.20 Jumbo Hotfix toma 141 o menos, R81.10 (EOS), R81 (EOS) y R80.40 (EOS)
- Cortafuegos Spark: R80.20.X (EOS), R81.10.X y R82.00.X
La explotacion exitosa requiere que se cumplan las siguientes condiciones:
- El acceso remoto VPN o el acceso móvil están habilitados
- IKEv1 está habilitado para acceso remoto
- Las puertas de enlace aceptan clientes de acceso remoto heredados
- Las puertas de enlace no exigen un certificado de máquina para las conexiones
La empresa israelí de ciberseguridad dijo que observó por primera vez indicios de actividad sospechosa el 4 de junio de 2026, y que la primera explotación observada data del 7 de mayo de 2026. Se dice que los esfuerzos de explotación se han intensificado a partir de este mes.
La actividad de explotación, añadió Check Point, se ha limitado a «unas pocas docenas de organizaciones objetivo en todo el mundo». En un caso, la fase posterior a la explotación se asoció con un afiliado de ransomware Qilin.
«Creemos que esta infraestructura de actores de amenazas está explotando otras vulnerabilidades relacionadas con VPN, como las publicadas por Palo Alto (Networks), Fortinet y F5», señaló. «Identificamos indicadores que sugieren que el actor puede utilizar el protocolo Tox para comunicarse, un patrón comúnmente asociado con actores de ransomware con motivación financiera».
Un aspecto clave es el uso de una infraestructura de servidor privado virtual (VPS) para realizar los ataques. Específicamente, esto implica confiar en servidores VPS geolocalizados en un país en particular para dirigirse a organizaciones dentro de sus fronteras. Una vez que se estableció el acceso, se descubrió que los atacantes intentaban descargar archivos ELF maliciosos de la infraestructura controlada por el actor.
Algunos aspectos de estos esfuerzos se superponen con un informe de Ctrl-Alt-Intel del mes pasado, que destacó el abuso por parte del equipo de ransomware de los dispositivos VPN corporativos para el acceso inicial.
Una revisión más detallada de los componentes VPN afectados ha descubierto una segunda vulnerabilidad, CVE-2026-50752 (puntuación CVSS: 7,40), que puede permitir un ataque de adversario en el medio (AitM) en conexiones VPN de sitio a sitio. No hay evidencia de que la falla haya sido aprovechada en ataques del mundo real.