CISA dala američkim agencijama tri dana za zakrpu Check Point VPN propusta iskorištenog u zero-day napadima

Američka agencija CISA naredila je saveznim civilnim izvršnim tijelima da u roku od tri dana osiguraju svoje Check Point Remote Access VPN i Mobile Access instalacije zbog kritične ranjivosti CVE-2026-50751, koju napadači već iskorištavaju kao zero-day. Riječ je o propustu koji, prema objavi, udaljenom neautenticiranom napadaču može omogućiti zaobilaženje autentifikacije i uspostavu VPN veze na ciljanim Mobile Access/SSL VPN, Remote Access VPN i Spark firewall sustavima.

Check Point je sigurnosna ažuriranja objavio u ponedjeljak i naveo da su napadi počeli 7. svibnja te se pojačali tijekom vikenda. Tvrtka je priopćila da je do sada zabilježeno samo nekoliko desetaka pogođenih organizacija diljem svijeta, ali je barem jedan incident povezala s Qilin ransomware affiliate operacijom. Check Point navodi i da je Qilin od pojave u kolovozu 2022. na svom dark web leak siteu pripisao više od 400 žrtava.

Prema Check Pointu, ranjivost pogađa samo instance konfigurirane za korištenje zastarjelog IKEv1 protokola za razmjenu ključeva, uz sigurnosne gatewaye koji ne traže strojni certifikat za povezivanje i prihvaćaju starije Remote Access klijente. Tvrtka je korisnicima koji koriste IKEv1 preporučila da odmah primijene dostupna sigurnosna ažuriranja. Za one koji ne mogu zakrpati sustave, Check Point je objavio i mjere ublažavanja: uklanjanje podrške za legacy remote access klijent, postavljanje globalnih svojstava za Remote Access VPN Authentication na IKEv2 only, uključivanje IPS-a i preuzimanje potpisa te obvezno uključivanje Machine Certificate Authentication.

CISA je CVE-2026-50751 dodala u katalog Known Exploited Vulnerabilities i odredila da FCEB agencije moraju zaštititi svoje uređaje do 11. lipnja, u skladu s Binding Operational Directive 22-01. Agencija je navela da je takva ranjivost česta ulazna točka za zlonamjerne aktere i da predstavlja značajan rizik za savezni sustav, uz poruku da se primijene mjere ublažavanja prema uputama proizvođača, prate smjernice BOD 22-01 za cloud usluge ili prestane koristiti proizvod ako ublažavanje nije dostupno.

Iako se ta obveza odnosi samo na američke savezne agencije, CISA je pozvala i ostale sigurnosne timove, uključujući one u privatnom sektoru, da što prije instaliraju zakrpe za CVE-2026-50751 i zaštite mreže. Ovo nije prvi put da je CISA označila Check Pointov propust kao aktivno iskorištavan: prije dvije godine dodala je još jednu ranjivost u Quantum Security Gateways, CVE-2024-24919, nakon što je Orange Cyberdefense CERT izvijestio o vezi s NailaoLocker ransomware napadima.