CISA 發布緊急指令:應對 Qilin 勒索軟件利用的 Check Point VPN 零日漏洞

CVE-2026-50751 Check Point VPN vulnerability Qilin ransomware CISA emergency directive VPN zero-day
J
James Okoro

Ethical Hacking & Threat Intelligence Editor

 
2026年6月16日
3 分鐘閱讀
CISA 發布緊急指令:應對 Qilin 勒索軟件利用的 Check Point VPN 零日漏洞

TL;DR

• CISA 針對 Check Point VPN 漏洞 CVE-2026-50751 發布了緊急指令。 • Qilin 勒索軟件附屬成員正積極利用此未經身份驗證的繞過漏洞。 • 該漏洞影響使用已棄用 IKEv1 協議進行網絡連接的系統。 • 攻擊者利用 VPS 基礎設施掩蓋惡意流量並部署勒索軟件。

CISA 發布緊急指令:應對 Qilin 勒索軟件利用的 Check Point VPN 零日漏洞

美國網絡安全與基礎設施安全局 (CISA) 已正式採取行動。在發現 Check Point VPN 網關中存在一個嚴重的零日漏洞(編號為 CVE-2026-50751)後,該機構發布了一項緊急指令。風險極高:此漏洞允許未經身份驗證的攻擊者直接繞過密碼要求,輕而易舉地獲取敏感網絡基礎設施的控制權。目前,Qilin 勒索軟件組織的附屬成員正積極利用此漏洞突破企業防禦。

安全研究人員於 2026 年 5 月 7 日首次發現相關攻擊活動。到了 6 月初,該活動已演變成一場大規模的攻擊行動。此漏洞影響所有運行 Check Point Remote Access VPN、Mobile Access 或 AI 驅動的 Spark 防火牆,且仍依賴於過時且已棄用的 IKEv1 金鑰交換協議的系統。攻擊者通過利用該舊協議中隱藏的邏輯流程錯誤,完全繞過憑證驗證,並在企業網絡內部建立據點。

CISA 發布緊急指令:應對 Qilin 勒索軟件利用的 Check Point VPN 零日漏洞

圖片來源:Help Net Security

Qilin 組織的手段並不隱蔽。他們是一個以發動高影響力企業攻擊而聞名的老練團體。據 SecurityWeek 報導,這些攻擊者通過虛擬專用伺服器 (VPS) 基礎設施路由流量來掩蓋行蹤。取證團隊已將此活動與託管在 Kaupo Cloud HK、Shock Hosting 和 Vultr Holdings 等供應商上的攻擊準備操作聯繫起來。這是一種經典手法:隱藏在合法雲服務的流量中,以部署勒索軟件負載。

技術分析

從本質上講,這是一個邏輯流程錯誤——即系統處理 IKEv1 協議時出現的基本錯誤。由於 IKEv1 是一項舊標準,它經常在較舊、被遺忘的基礎設施中後台運行,這使其成為尋求入侵途徑的攻擊者的首要目標。目前受影響的平台包括:

  • Check Point Remote Access VPN: 若啟用了 IKEv1 則存在漏洞。
  • Mobile Access: 任何仍在使用該棄用協議的部署。
  • AI 驅動的 Spark 防火牆: 配置為支持 IKEv1 的系統。
屬性 詳細資訊
CVE 編號 CVE-2026-50751
漏洞類型 邏輯流程 / 身份驗證繞過
威脅行為者 Qilin 勒索軟件附屬成員
首次檢測日期 2026 年 5 月 7 日
主要途徑 已棄用的 IKEv1 協議

緩解措施:您需要做什麼

Check Point 已經發布了針對 已棄用 IKEv1 VPN 協議漏洞的重要修補程式。如果您正在運行這些網關,請立即停止手頭工作並優先進行修補。官方 支援公告 非常明確:立即修補網關,並儘可能永久停用 IKEv1 協議。這是一個過時的技術,在當前的威脅環境下,它是一個巨大的隱患。

該漏洞的活躍利用 嚴正提醒我們,舊協議是現代安全體系中的阿基里斯之踵。IT 團隊需要開始排查來自上述 VPS 供應商的異常流量模式。仔細檢查您的 VPN 網關日誌,尋找任何可疑的未經授權訪問嘗試,即使這些嘗試發生在漏洞公開披露之前。

除了修補之外,現在是重新思考網絡分段的時候了。由於此漏洞是完全的身份驗證繞過,被入侵的 VPN 網關本質上就是通往您最關鍵資產的敞開大門。如果該網關未進行隔離,損害可能會迅速蔓延。強大的監控和保持韌體更新不再僅僅是「最佳實踐」,而是維持業務運作的唯一途徑。

局勢仍在發展中。安全機構正密切關注 Qilin 附屬成員的動向,管理員應持續關注 Check Point 的更新,以應對任何次生漏洞或額外的加固要求。如果您發現入侵證據,請向相關網絡安全部門報告。這有助於其他人繪製威脅行為者的基礎設施,並有望在下一次攻擊發生前阻止它。請保持警惕。

J
James Okoro

Ethical Hacking & Threat Intelligence Editor

 

James Okoro is a certified ethical hacker (CEH) and cybersecurity journalist with a background in military intelligence. After serving as a cyber operations analyst, he transitioned into the private sector, working as a threat intelligence consultant before finding his voice as a writer. James has covered major data breaches, ransomware campaigns, and state-sponsored cyberattacks for several leading security publications. He brings a tactical, insider perspective to his reporting on the ever-evolving threat landscape.

相關新聞

Private Internet Access Updates WireGuard and OpenVPN Protocol Implementations to Strengthen Remote Access Security
WireGuard and OpenVPN protocol security updates

Private Internet Access Updates WireGuard and OpenVPN Protocol Implementations to Strengthen Remote Access Security

Private Internet Access upgrades WireGuard and OpenVPN protocols to boost remote access security, performance, and encryption stability. Learn how it impacts you.

作者: Viktor Sokolov 2026年7月10日 4 分鐘閱讀
common.read_full_article
Critical CitrixBleed Vulnerability Under Active Exploitation Prompts Urgent Security Patch for NetScaler Gateways
CitrixBleed

Critical CitrixBleed Vulnerability Under Active Exploitation Prompts Urgent Security Patch for NetScaler Gateways

Critical vulnerability CVE-2023-4966 is under active exploitation. Patch your NetScaler ADC and Gateway appliances immediately to prevent session hijacking.

作者: Marcus Chen 2026年7月9日 4 分鐘閱讀
common.read_full_article
WatchGuard Issues Third Critical IKEv2 Patch in Ten Months as Legacy Firebox Devices Remain Exposed
CVE-2026-13368

WatchGuard Issues Third Critical IKEv2 Patch in Ten Months as Legacy Firebox Devices Remain Exposed

WatchGuard issues third critical IKEv2 patch in ten months. Learn how CVE-2026-13368 affects your Firebox appliances and the risks to legacy hardware.

作者: Elena Voss 2026年7月8日 4 分鐘閱讀
common.read_full_article
Dropbox Security Breach Prompts Enterprise Review of Encryption Protocols and Remote Access Alternatives for 2026
Dropbox security breach

Dropbox Security Breach Prompts Enterprise Review of Encryption Protocols and Remote Access Alternatives for 2026

Following the Dropbox security breach, enterprises are urgently reviewing encryption protocols and remote access alternatives. Learn the impact and 2026 security trends.

作者: James Okoro 2026年7月7日 4 分鐘閱讀
common.read_full_article