CISA 发布紧急指令:应对 Qilin 勒索软件利用的 Check Point VPN 零日漏洞

CVE-2026-50751 Check Point VPN vulnerability Qilin ransomware CISA emergency directive VPN zero-day
J
James Okoro

Ethical Hacking & Threat Intelligence Editor

 
2026年6月16日
3 分钟阅读
CISA 发布紧急指令:应对 Qilin 勒索软件利用的 Check Point VPN 零日漏洞

TL;DR

• CISA 针对 Check Point VPN 漏洞 CVE-2026-50751 发布了紧急指令。 • Qilin 勒索软件附属成员正积极利用此未经身份验证的绕过漏洞。 • 该漏洞影响使用已弃用的 IKEv1 协议进行网络连接的系统。 • 攻击者利用 VPS 基础设施掩盖恶意流量并部署勒索软件。

CISA 发布紧急指令:应对 Qilin 勒索软件利用的 Check Point VPN 零日漏洞

美国网络安全与基础设施安全局 (CISA) 已正式采取行动。在发现 Check Point VPN 网关中存在一个严重的零日漏洞(编号为 CVE-2026-50751)后,该机构发布了一项紧急指令。此次风险极高:该漏洞允许未经身份验证的攻击者直接绕过密码要求,从而轻易获取敏感网络基础设施的控制权。目前,Qilin 勒索软件团伙的附属成员正积极利用此漏洞突破企业防御。

安全研究人员于 2026 年 5 月 7 日首次发现该漏洞被利用。到 6 月初,相关攻击活动已演变为一场大规模行动。该漏洞影响所有运行 Check Point 远程访问 VPN、移动访问或 AI 驱动的 Spark 防火墙,且仍依赖于过时、已弃用的 IKEv1 密钥交换协议的系统。通过利用该旧协议中隐藏的逻辑流错误,威胁行为者可以完全绕过凭据验证,并在企业网络内部建立据点。

CISA 发布紧急指令:应对 Qilin 勒索软件利用的 Check Point VPN 零日漏洞

图片来源:Help Net Security

Qilin 团伙以其高影响力的企业攻击而闻名,手段并不隐蔽。据 SecurityWeek 报道,这些攻击者通过虚拟专用服务器 (VPS) 基础设施路由流量来掩盖行踪。取证团队已将此次行动与托管在 Kaupo Cloud HK、Shock Hosting 和 Vultr Holdings 等提供商处的攻击阶段操作联系起来。这是一种经典手法:隐藏在合法云服务的流量中,以部署勒索软件载荷。

技术分析

从本质上讲,这是一个逻辑流错误,即系统处理 IKEv1 协议的方式存在根本性缺陷。由于 IKEv1 是一个遗留标准,它通常在旧的、被遗忘的基础设施后台运行,这使其成为攻击者寻找入侵途径的首选目标。目前受影响的平台包括:

  • Check Point 远程访问 VPN: 如果启用了 IKEv1,则存在漏洞。
  • 移动访问: 任何仍在使用该弃用协议的部署。
  • AI 驱动的 Spark 防火墙: 配置为支持 IKEv1 的系统。
属性 详情
CVE 编号 CVE-2026-50751
漏洞类型 逻辑流 / 身份验证绕过
威胁行为者 Qilin 勒索软件附属成员
首次检测时间 2026 年 5 月 7 日
主要攻击向量 已弃用的 IKEv1 协议

缓解措施:您需要做什么

Check Point 已经发布了针对 已弃用 IKEv1 VPN 协议漏洞的重要热修复程序。如果您正在运行这些网关,请立即停止手头工作并优先进行补丁更新。官方支持公告明确指出:立即修补网关,如果可能,请彻底禁用 IKEv1 协议。它已是过时技术,在当前威胁环境下,它是一个巨大的安全隐患。

该漏洞的活跃利用再次提醒我们,遗留协议是现代安全的阿喀琉斯之踵。IT 团队需要开始排查来自上述 VPS 提供商的异常流量模式。仔细检查您的 VPN 网关日志,寻找任何类似未经授权访问尝试的迹象,即使这些迹象早于漏洞的公开披露时间。

除了修补漏洞,现在是重新审视网络分段的时候了。由于此漏洞是完全的身份验证绕过,被攻破的 VPN 网关本质上就是通往您最关键资产的敞开大门。如果该网关未进行隔离,损害可能会迅速蔓延。强大的监控和保持固件更新不再仅仅是“最佳实践”,它们是维持业务运行的唯一保障。

局势仍在发展中。安全机构正密切关注 Qilin 附属成员,管理员应密切关注 Check Point 的更新,以获取任何二次漏洞信息或额外的加固要求。如果您发现违规证据,请向相关网络安全部门报告。这有助于其他人绘制威胁行为者的基础设施图谱,并有望在下一次攻击发生前阻止它。保持警惕。

J
James Okoro

Ethical Hacking & Threat Intelligence Editor

 

James Okoro is a certified ethical hacker (CEH) and cybersecurity journalist with a background in military intelligence. After serving as a cyber operations analyst, he transitioned into the private sector, working as a threat intelligence consultant before finding his voice as a writer. James has covered major data breaches, ransomware campaigns, and state-sponsored cyberattacks for several leading security publications. He brings a tactical, insider perspective to his reporting on the ever-evolving threat landscape.

相关新闻

Private Internet Access Updates WireGuard and OpenVPN Protocol Implementations to Strengthen Remote Access Security
WireGuard and OpenVPN protocol security updates

Private Internet Access Updates WireGuard and OpenVPN Protocol Implementations to Strengthen Remote Access Security

Private Internet Access upgrades WireGuard and OpenVPN protocols to boost remote access security, performance, and encryption stability. Learn how it impacts you.

作者: Viktor Sokolov 2026年7月10日 4 分钟阅读
common.read_full_article
Critical CitrixBleed Vulnerability Under Active Exploitation Prompts Urgent Security Patch for NetScaler Gateways
CitrixBleed

Critical CitrixBleed Vulnerability Under Active Exploitation Prompts Urgent Security Patch for NetScaler Gateways

Critical vulnerability CVE-2023-4966 is under active exploitation. Patch your NetScaler ADC and Gateway appliances immediately to prevent session hijacking.

作者: Marcus Chen 2026年7月9日 4 分钟阅读
common.read_full_article
WatchGuard Issues Third Critical IKEv2 Patch in Ten Months as Legacy Firebox Devices Remain Exposed
CVE-2026-13368

WatchGuard Issues Third Critical IKEv2 Patch in Ten Months as Legacy Firebox Devices Remain Exposed

WatchGuard issues third critical IKEv2 patch in ten months. Learn how CVE-2026-13368 affects your Firebox appliances and the risks to legacy hardware.

作者: Elena Voss 2026年7月8日 4 分钟阅读
common.read_full_article
Dropbox Security Breach Prompts Enterprise Review of Encryption Protocols and Remote Access Alternatives for 2026
Dropbox security breach

Dropbox Security Breach Prompts Enterprise Review of Encryption Protocols and Remote Access Alternatives for 2026

Following the Dropbox security breach, enterprises are urgently reviewing encryption protocols and remote access alternatives. Learn the impact and 2026 security trends.

作者: James Okoro 2026年7月7日 4 分钟阅读
common.read_full_article