CVE-2026-50751

Суть уязвимости

CVE-2026-50751 представляет собой критическую уязвимость в реализации протокола IKEv1 (Internet Key Exchange) на шлюзах безопасности Check Point. Ошибка в логике проверки подлинности позволяет удаленному неавторизованному злоумышленнику обойти этап аутентификации пользователя. В результате атакующий может успешно установить Remote Access VPN соединение, не имея валидного пароля пользователя, что открывает доступ к внутренним ресурсам корпоративной сети.

Как исправить

Для полного устранения уязвимости необходимо установить актуальное обновление безопасности (Hotfix) через Check Point Gaia Portal или SmartConsole (CPUSE).

1. Проверьте наличие доступных обновлений в CPUSE:

installer check-update

1. Установите рекомендуемый Jumbo Hotfix Accumulator для вашей версии ОС (R80.x или R81.x):

installer install <Package_Name>

1. Если вы используете управление через SmartConsole, убедитесь, что установлена последняя версия Management Server, и выполните операцию Install Policy после обновления шлюзов.

Временные меры

Если немедленная установка патча невозможна, рекомендуется выполнить следующие действия для снижения риска:

1. Отключите использование IKEv1 для Remote Access VPN, принудительно переведя клиентов на IKEv2:

set vpn client-auth ike-version v2-only

1. Ограничьте доступ к VPN-шлюзу, разрешив подключения только с доверенных IP-адресов через правила Firewall (если применимо).

2. Включите обязательную многофакторную аутентификацию (MFA), которая не полагается исключительно на механизмы IKEv1.

3. Настройте IPS-профиль на блокировку попыток эксплуатации уязвимостей IKEv1, обновив сигнатуры до последней версии:

ips update