CISA 發布緊急指令:應對 Qilin 勒索軟件利用的 Check Point VPN 零日漏洞
TL;DR
CISA 發布緊急指令:應對 Qilin 勒索軟件利用的 Check Point VPN 零日漏洞
美國網絡安全與基礎設施安全局 (CISA) 已正式採取行動。在發現 Check Point VPN 網關中存在一個嚴重的零日漏洞(編號為 CVE-2026-50751)後,該機構發布了一項緊急指令。風險極高:此漏洞允許未經身份驗證的攻擊者直接繞過密碼要求,輕而易舉地獲取敏感網絡基礎設施的控制權。目前,Qilin 勒索軟件組織的附屬成員正積極利用此漏洞突破企業防禦。
安全研究人員於 2026 年 5 月 7 日首次發現相關攻擊活動。到了 6 月初,該活動已演變成一場大規模的攻擊行動。此漏洞影響所有運行 Check Point Remote Access VPN、Mobile Access 或 AI 驅動的 Spark 防火牆,且仍依賴於過時且已棄用的 IKEv1 金鑰交換協議的系統。攻擊者通過利用該舊協議中隱藏的邏輯流程錯誤,完全繞過憑證驗證,並在企業網絡內部建立據點。

Qilin 組織的手段並不隱蔽。他們是一個以發動高影響力企業攻擊而聞名的老練團體。據 SecurityWeek 報導,這些攻擊者通過虛擬專用伺服器 (VPS) 基礎設施路由流量來掩蓋行蹤。取證團隊已將此活動與託管在 Kaupo Cloud HK、Shock Hosting 和 Vultr Holdings 等供應商上的攻擊準備操作聯繫起來。這是一種經典手法:隱藏在合法雲服務的流量中,以部署勒索軟件負載。
技術分析
從本質上講,這是一個邏輯流程錯誤——即系統處理 IKEv1 協議時出現的基本錯誤。由於 IKEv1 是一項舊標準,它經常在較舊、被遺忘的基礎設施中後台運行,這使其成為尋求入侵途徑的攻擊者的首要目標。目前受影響的平台包括:
- Check Point Remote Access VPN: 若啟用了 IKEv1 則存在漏洞。
- Mobile Access: 任何仍在使用該棄用協議的部署。
- AI 驅動的 Spark 防火牆: 配置為支持 IKEv1 的系統。
| 屬性 | 詳細資訊 |
|---|---|
| CVE 編號 | CVE-2026-50751 |
| 漏洞類型 | 邏輯流程 / 身份驗證繞過 |
| 威脅行為者 | Qilin 勒索軟件附屬成員 |
| 首次檢測日期 | 2026 年 5 月 7 日 |
| 主要途徑 | 已棄用的 IKEv1 協議 |
緩解措施:您需要做什麼
Check Point 已經發布了針對 已棄用 IKEv1 VPN 協議漏洞的重要修補程式。如果您正在運行這些網關,請立即停止手頭工作並優先進行修補。官方 支援公告 非常明確:立即修補網關,並儘可能永久停用 IKEv1 協議。這是一個過時的技術,在當前的威脅環境下,它是一個巨大的隱患。
該漏洞的活躍利用 嚴正提醒我們,舊協議是現代安全體系中的阿基里斯之踵。IT 團隊需要開始排查來自上述 VPS 供應商的異常流量模式。仔細檢查您的 VPN 網關日誌,尋找任何可疑的未經授權訪問嘗試,即使這些嘗試發生在漏洞公開披露之前。
除了修補之外,現在是重新思考網絡分段的時候了。由於此漏洞是完全的身份驗證繞過,被入侵的 VPN 網關本質上就是通往您最關鍵資產的敞開大門。如果該網關未進行隔離,損害可能會迅速蔓延。強大的監控和保持韌體更新不再僅僅是「最佳實踐」,而是維持業務運作的唯一途徑。
局勢仍在發展中。安全機構正密切關注 Qilin 附屬成員的動向,管理員應持續關注 Check Point 的更新,以應對任何次生漏洞或額外的加固要求。如果您發現入侵證據,請向相關網絡安全部門報告。這有助於其他人繪製威脅行為者的基礎設施,並有望在下一次攻擊發生前阻止它。請保持警惕。