Check Point ha alertado sobre la
explotación activa de una vulnerabilidad crítica que afecta a las
implementaciones de VPN de acceso remoto y acceso móvil configuradas para usar
el protocolo de intercambio de claves
IKEv1, actualmente obsoleto.
La vulnerabilidad, identificada como CVE-2026-50751 (CVSS: 9.3), consiste en
una debilidad en el flujo lógico de la validación de certificados que permite
a un atacante remoto no autenticado eludir la autenticación de usuario y
establecer una conexión VPN de acceso remoto sin una contraseña válida.
«Al explotar una vulnerabilidad lógica en la validación de certificados, un
atacante puede establecer una sesión VPN sin poseer una contraseña válida,
eludiendo así los requisitos de autenticación»,
declaró Check Point.
«Se requiere actividad adicional posterior a la autenticación para acceder
a recursos internos o escalar privilegios».
La
vulnerabilidad afecta a los siguientes productos
y versiones:
-
Security Gateways R82.10 Jumbo Hotfix Take 19 o inferior, R82 Jumbo Hotfix
Take 103 o inferior, R81.20 Jumbo Hotfix Take 141 o inferior, R81.10 (EOS),
R81 (EOS) y R80.40 (EOS) - Spark Firewalls: R80.20.X (EOS), R81.10.X y R82.00.X
Para explotar la vulnerabilidad con éxito, se deben cumplir las siguientes
condiciones:
- El acceso remoto VPN o el acceso móvil deben estar habilitados.
- IKEv1 debe estar habilitado para el acceso remoto.
- Los gateways deben aceptar clientes de acceso remoto heredados.
-
Los gateways no deben requerir un certificado de máquina para las
conexiones.
La empresa israelí de ciberseguridad indicó que detectó los primeros indicios
de actividad sospechosa el 4 de junio de 2026, y que la primera explotación
observada data del 7 de mayo de 2026. Se afirma que los esfuerzos de
explotación se intensificaron a partir de este año. mes.
Check Point añadió que la actividad de explotación se ha limitado a
«unas pocas docenas de organizaciones objetivo a nivel mundial». En un
caso, la fase posterior a la explotación se ha asociado con una filial del
ransomware Qilin.
«Creemos que la infraestructura de este actor de amenazas está explotando
otras vulnerabilidades relacionadas con VPN, como las publicadas por Palo
Alto Networks, Fortinet y F5», señaló.
«Identificamos indicadores que sugieren que el actor podría usar el
protocolo Tox para comunicarse, un patrón comúnmente asociado con los
actores de ransomware con fines lucrativos».
Un aspecto clave es el uso de una infraestructura de servidor virtual privado
(VPS) para llevar a cabo los ataques. Específicamente, esto implica depender
de servidores VPS geolocalizados en un país específico para atacar a
organizaciones dentro de sus fronteras. Una vez establecido el acceso, se
descubrió que los atacantes intentaban descargar archivos ELF maliciosos de la
infraestructura controlada por el actor.
Algunos aspectos de estos esfuerzos coinciden con un
informe de Ctrl-Alt-Intel
del mes pasado, que destacaba el abuso por parte del grupo de ransomware de
los dispositivos VPN corporativos para el acceso inicial.
Un análisis más detallado de los componentes VPN afectados ha revelado una
segunda vulnerabilidad, CVE-2026-50752 (CVSS: 7,40), que podría permitir un
ataque de intermediario (AitM) en las conexiones VPN de sitio a sitio. No
existen indicios de que esta vulnerabilidad haya sido explotada en ataques
reales.
Fuente:
THN