CISA 发布紧急指令:应对 Qilin 勒索软件利用的 Check Point VPN 零日漏洞
TL;DR
CISA 发布紧急指令:应对 Qilin 勒索软件利用的 Check Point VPN 零日漏洞
美国网络安全与基础设施安全局 (CISA) 已正式采取行动。在发现 Check Point VPN 网关中存在一个严重的零日漏洞(编号为 CVE-2026-50751)后,该机构发布了一项紧急指令。此次风险极高:该漏洞允许未经身份验证的攻击者直接绕过密码要求,从而轻易获取敏感网络基础设施的控制权。目前,Qilin 勒索软件团伙的附属成员正积极利用此漏洞突破企业防御。
安全研究人员于 2026 年 5 月 7 日首次发现该漏洞被利用。到 6 月初,相关攻击活动已演变为一场大规模行动。该漏洞影响所有运行 Check Point 远程访问 VPN、移动访问或 AI 驱动的 Spark 防火墙,且仍依赖于过时、已弃用的 IKEv1 密钥交换协议的系统。通过利用该旧协议中隐藏的逻辑流错误,威胁行为者可以完全绕过凭据验证,并在企业网络内部建立据点。

Qilin 团伙以其高影响力的企业攻击而闻名,手段并不隐蔽。据 SecurityWeek 报道,这些攻击者通过虚拟专用服务器 (VPS) 基础设施路由流量来掩盖行踪。取证团队已将此次行动与托管在 Kaupo Cloud HK、Shock Hosting 和 Vultr Holdings 等提供商处的攻击阶段操作联系起来。这是一种经典手法:隐藏在合法云服务的流量中,以部署勒索软件载荷。
技术分析
从本质上讲,这是一个逻辑流错误,即系统处理 IKEv1 协议的方式存在根本性缺陷。由于 IKEv1 是一个遗留标准,它通常在旧的、被遗忘的基础设施后台运行,这使其成为攻击者寻找入侵途径的首选目标。目前受影响的平台包括:
- Check Point 远程访问 VPN: 如果启用了 IKEv1,则存在漏洞。
- 移动访问: 任何仍在使用该弃用协议的部署。
- AI 驱动的 Spark 防火墙: 配置为支持 IKEv1 的系统。
| 属性 | 详情 |
|---|---|
| CVE 编号 | CVE-2026-50751 |
| 漏洞类型 | 逻辑流 / 身份验证绕过 |
| 威胁行为者 | Qilin 勒索软件附属成员 |
| 首次检测时间 | 2026 年 5 月 7 日 |
| 主要攻击向量 | 已弃用的 IKEv1 协议 |
缓解措施:您需要做什么
Check Point 已经发布了针对 已弃用 IKEv1 VPN 协议漏洞的重要热修复程序。如果您正在运行这些网关,请立即停止手头工作并优先进行补丁更新。官方支持公告明确指出:立即修补网关,如果可能,请彻底禁用 IKEv1 协议。它已是过时技术,在当前威胁环境下,它是一个巨大的安全隐患。
该漏洞的活跃利用再次提醒我们,遗留协议是现代安全的阿喀琉斯之踵。IT 团队需要开始排查来自上述 VPS 提供商的异常流量模式。仔细检查您的 VPN 网关日志,寻找任何类似未经授权访问尝试的迹象,即使这些迹象早于漏洞的公开披露时间。
除了修补漏洞,现在是重新审视网络分段的时候了。由于此漏洞是完全的身份验证绕过,被攻破的 VPN 网关本质上就是通往您最关键资产的敞开大门。如果该网关未进行隔离,损害可能会迅速蔓延。强大的监控和保持固件更新不再仅仅是“最佳实践”,它们是维持业务运行的唯一保障。
局势仍在发展中。安全机构正密切关注 Qilin 附属成员,管理员应密切关注 Check Point 的更新,以获取任何二次漏洞信息或额外的加固要求。如果您发现违规证据,请向相关网络安全部门报告。这有助于其他人绘制威胁行为者的基础设施图谱,并有望在下一次攻击发生前阻止它。保持警惕。