الاستغلال يتركز حول إعدادات VPN القديمة
أصبحت ثغرة حرجة في Check Point مشكلة مباشرة لأمن المحيط الشبكي لدى المؤسسات التي ما زالت تسمح لعمليات Remote Access VPN أو Mobile Access بالتفاوض عبر IKEv1. تحمل الثغرة المعرّف CVE-2026-50751 ودرجة CVSS تبلغ 9.3، ما يضعها ضمن النطاق الحرج.
توجد نقطة الضعف في منطق التحقق من الشهادات. وضمن الإعدادات المكشوفة، يستطيع مهاجم بعيد غير مصادق إنشاء جلسة remote access VPN من دون كلمة مرور مستخدم صالحة. هذا لا يعني تلقائياً اختراقاً كاملاً للشبكة الداخلية، لأن الوصول إلى الموارد الداخلية أو رفع الصلاحيات يحتاج إلى خطوات لاحقة بعد المصادقة. لكنه ينقل المهاجم إلى ما بعد طبقة تحكم يفترض أن تمنع دخول VPN غير المصرح به عند الحافة.
البوابات المتأثرة تشترك في نمط تعرض قديم
تشمل إصدارات Security Gateway المتأثرة R82.10 Jumbo Hotfix Take 19 أو ما دونه، وR82 Jumbo Hotfix Take 103 أو ما دونه، وR81.20 Jumbo Hotfix Take 141 أو ما دونه، إضافة إلى R81.10 وR81 وR80.40. كما تشمل القائمة Spark Firewalls عبر R80.20.X وR81.10.X وR82.00.X.
التعرض هنا أضيق من كونه اختراقاً عاماً للمنتج. فالاستغلال يتطلب اجتماع عدة شروط إعداد في الوقت نفسه: يجب أن تكون VPN Remote Access أو Mobile Access مفعلة، وأن يكون IKEv1 متاحاً للوصول البعيد، وأن تقبل البوابات عملاء Remote Access القدامى، وألا تطلب شهادة جهاز للاتصالات. لذلك فإن أولوية التشغيل واضحة: على فرق الدفاع تحديد البوابات التي ما زالت تحمل إعدادات وصول قديمة، لا مجرد إحصاء أجهزة Check Point الموجودة.
الجدول الزمني يشير إلى نشاط محدد الصلة ببرمجيات الفدية
تم تحديد نشاط مشبوه لأول مرة في June 4, 2026، بينما يعود أقدم استغلال مرصود إلى May 7, 2026. وازدادت الوتيرة هذا الشهر، لكن نطاق الضحايا المعروف يوصف بأنه محدود ويشمل بضع عشرات من المؤسسات المستهدفة عالمياً.
ارتبطت إحدى حالات ما بعد الاستغلال بجهة تابعة لبرمجية الفدية Qilin. كما استخدم النشاط بنية خوادم افتراضية خاصة، حيث استُخدمت خوادم متموضعة جغرافياً في بلد مستهدف ضد مؤسسات داخل البلد نفسه. وبعد إنشاء الوصول، حاول المهاجمون تنزيل ملفات ELF خبيثة من بنية تحتية يسيطرون عليها.
قد تكون البنية نفسها مرتبطة بمحاولات ضد ثغرات VPN أخرى تمس بيئات Palo Alto Networks وFortinet وF5. وتشير مؤشرات أيضاً إلى احتمال استخدام بروتوكول Tox للاتصال، وهو نمط يظهر كثيراً في عمليات الفدية ذات الدافع المالي.
نطاق التصحيح يتجاوز الثغرة المستغلة
كُشف عن مشكلة ثانية أثناء مراجعة إضافية لمكونات VPN المتأثرة، وهي CVE-2026-50752. تحمل هذه الثغرة درجة CVSS تبلغ 7.40 وقد تتيح هجوماً من نوع adversary-in-the-middle على اتصالات VPN site-to-site. لا توجد في مادة المصدر أدلة على استغلال CVE-2026-50752 في هجمات واقعية.
بالنسبة إلى فرق الأمن، تتمثل نقطة المتابعة الفورية في تقاطع حالة التصحيح مع إعدادات VPN القديمة. وأقوى إشارة معالجة هي ما إذا كانت البوابات المكشوفة قد أزالت مسار IKEv1 غير الآمن، وأوقفت قبول شروط العملاء القدامى المعرضة للخطر، وطبقت الإصلاحات المناسبة عبر Security Gateway وSpark Firewall.
