CISA 發布緊急指令:針對遭 Qilin 勒索軟體利用的 Check Point VPN 零日漏洞
TL;DR
CISA 發布緊急指令:針對遭 Qilin 勒索軟體利用的 Check Point VPN 零日漏洞
美國網路安全暨基礎設施安全局 (CISA) 已正式採取強硬行動。在發現 Check Point VPN 閘道中存在一個嚴重的零日漏洞(編號為 CVE-2026-50751)後,該機構已發布緊急指令。此次風險極高:該漏洞允許未經身份驗證的攻擊者直接繞過密碼要求,輕而易舉地取得敏感網路基礎設施的控制權。目前,Qilin 勒索軟體組織的附屬成員正積極利用此漏洞突破企業防禦。
安全研究人員於 2026 年 5 月 7 日首次發現該漏洞被利用。到了 6 月初,相關攻擊活動已演變成大規模的入侵行動。該漏洞影響所有仍在執行 Check Point Remote Access VPN、Mobile Access 或 AI 驅動的 Spark 防火牆,且仍依賴過時且已棄用的 IKEv1 金鑰交換協定的系統。攻擊者透過利用該舊協定中隱藏的邏輯流程錯誤,完全繞過憑證驗證,並在企業網路內部建立據點。

Qilin 組織向來以手段兇狠著稱。他們是一群技術高超的駭客,以針對企業發動高影響力的攻擊而聞名。根據 SecurityWeek 的報導,這些攻擊者透過虛擬私人伺服器 (VPS) 基礎設施轉發流量來掩蓋行蹤。鑑識團隊已將此活動與託管在 Kaupo Cloud HK、Shock Hosting 和 Vultr Holdings 等供應商上的攻擊準備作業連結起來。這是一種典型的手段:隱藏在合法雲端服務的流量中,以部署勒索軟體酬載。
技術分析
從核心來看,這是一個邏輯流程錯誤,即系統處理 IKEv1 協定的方式存在根本性缺陷。由於 IKEv1 屬於舊標準,它經常在被遺忘的舊基礎設施中持續執行,成為尋求入侵途徑的攻擊者的首要目標。目前受影響的平台包括:
- Check Point Remote Access VPN: 若啟用了 IKEv1,則存在漏洞。
- Mobile Access: 任何仍在使用該棄用協定的部署。
- AI 驅動的 Spark 防火牆: 設定為支援 IKEv1 的系統。
| 屬性 | 詳細資訊 |
|---|---|
| CVE 編號 | CVE-2026-50751 |
| 漏洞類型 | 邏輯流程 / 身份驗證繞過 |
| 威脅行為者 | Qilin 勒索軟體附屬成員 |
| 首次偵測日期 | 2026 年 5 月 7 日 |
| 主要攻擊向量 | 已棄用的 IKEv1 協定 |
緩解措施:您需要做什麼
Check Point 已經針對 已棄用的 IKEv1 VPN 協定漏洞發布了重要的修補程式。如果您正在執行這些閘道,請立即停止手邊工作並優先進行修補。官方的 支援公告 非常明確:請立即修補閘道,並盡可能永久停用 IKEv1 協定。這是一個過時的技術,在當前的威脅環境下,它是一個巨大的安全隱患。
該 漏洞的活躍利用情況 嚴正提醒我們,舊有協定是現代安全防護的致命弱點。IT 團隊需要開始搜尋來自上述 VPS 供應商的異常流量模式。請仔細檢查您的 VPN 閘道日誌,尋找任何疑似未經授權的存取嘗試,即使這些嘗試發生在漏洞公開揭露之前。
除了修補之外,現在是重新思考網路分段的時候了。由於此漏洞屬於完全的身份驗證繞過,一旦 VPN 閘道遭到入侵,就等於向您的關鍵資產敞開了大門。如果該閘道未進行隔離,損害可能會迅速蔓延。強大的監控機制與保持韌體更新不再只是「最佳實踐」,而是維持系統運作的唯一防線。
目前情況仍在發展中。安全機構正密切關注 Qilin 附屬成員的動向,管理員應持續關注 Check Point 的更新,以應對任何次要漏洞或額外的強化需求。如果您發現遭入侵的證據,請向相關網路安全主管機關報告。這有助於其他人繪製威脅行為者的基礎設施,並有望在下一次攻擊發生前阻止它。請保持警惕。