Check Point công bố lỗ hổng zero-day VPN bị khai thác
Vừa qua, công ty bảo mật Check Point đã công bố và phát hành hotfix khẩn cấp cho lỗ hổng CVE-2026-50751 — một lỗ hổng xác thực bypass nguy hiểm trên nền tảng Remote Access VPN và Mobile Access sau khi phát hiện bị khai thác zero-day từ hơn một tháng trước. Đáng chú ý, lỗ hổng này đã bị nhóm ransomware Qilin (cũng được biết dưới tên "Agenda") khai thác để triển khai payload độc hại nhắm vào hàng chục tổ chức trên toàn cầu.
Thông tin chi tiết
Định danh lỗ hổng: CVE-2026-50751
Điểm CVSS(3.1): 9.3
Mức độ nghiêm trọng: CRITICAL – Cực kỳ nghiêm trọng
Mô tả: Lỗ hổng vượt qua xác thực (authentication bypass) trong quá trình xác thực chứng chỉ (certificate validation) của Check Point Remote Access VPN và Mobile Access. Lỗ hổng phát sinh do một lỗi logic trong luồng xác thực của giao thức IKEv1 (Internet Key Exchange version 1) — một giao thức trao đổi khóa đã lỗi thời và không được khuyến nghị nhưng Check Point vẫn hỗ trợ để tương thích với các client legacy. Kẻ tấn công ẩn danh (unauthenticated remote attacker) có thể khai thác lỗ hổng này để bypass hoàn toàn các yêu cầu nhập mật khẩu người dùng và thiết lập phiên kết nối VPN hợp lệ mà không cần bất kỳ thông tin xác thực nào. Một khi đã có truy cập VPN, kẻ tấn công có toàn quyền truy cập vào mạng nội bộ của tổ chức từ bên ngoài.
Phiên bản bị ảnh hưởng:
| Sản phẩm | Phiên bản bị ảnh hưởng |
|---|---|
| Check Point Mobile Access / SSL VPN | R80.20.X, R80.40, R81, R81.10, R82, R82.10 |
| Check Point Remote Access VPN | R80.20.X, R80.40, R81, R81.10, R82, R82.10 |
| Check Point Spark Firewall | R82.10 |
Check Point Research cho biết, hãng đã phát hiện các dấu hiệu đáng ngờ từ khoảng đầu tháng 06/2026, tuy nhiên sau khi trải qua quá trình phân tích dữ liệu, các chuyên gia bảo mật đã chỉ ra việc khai thác lỗ hổng này có thể diễn ra từ trước đó một tháng. Ngoài CVE-2026-50751, trong quá trình điều tra, Check Point cũng đã phát hiện thêm lỗ hổng thứ hai — CVE-2026-50752 (CVSS: 7.4) — là lỗ hổng Man-in-the-Middle (MITM) có thể ảnh hưởng đến VPN tunnel site-to-site sử dụng IKEv1. Check Point không có bằng chứng CVE-2026-50752 bị khai thác thực tế, nhưng đã phát hành bản vá để chủ động ngăn chặn.
Về nhóm ransomware Qilin, nhóm tin tặc này thường được biết với cái tên gốc là Agenda, hoạt động như một tổ chức Ransomware-as-a-Service (RaaS) bắt đầu từ cuối năm 2022. Theo các nguồn tin thống kê, nhóm này là tác nhân của gần 400 cuộc tấn công nhắm tới nhiều tổ chức trên toàn cầu. Danh sách nạn nhân bao gồm các tổ chức đáng chú ý như:
Yangfeng Automotive (hãng sản xuất ô tô)
Nissan (nhà sản xuất ô tô)
Asahi (công ty bia Nhật Bản)
Lee Enterprises (tập đoàn xuất bản lớn)
Synnovis (nhà cung cấp dịch vụ chẩn đoán bệnh lý)
Court Services Victoria (dịch vụ tòa án Australia)
Quá trình nhóm tin tặc Qilin khai thác lỗ hổng có thể được chia thành các giai đoạn:
Bước 1: Thu thập thông tin (Reconnaissance)
Mục tiêu: Xác định các deployment Check Point Remote Access VPN / Mobile Access đang bị lộ ra Internet và sử dụng IKEv1.
Hành động: Kẻ tấn công sử dụng các công cụ quét Internet (Shodan, Censys) hoặc các kỹ thuật tìm kiếm banner để xác định các VPN gateway của Check Point. Sau đó kiểm tra xem chúng có sử dụng IKEv1 và có yêu cầu machine certificate không (các chỉ báo yếu tố khai thác).
Bước 2: Gửi Payload Bypass Xác thực (Authentication Bypass Exploitation)
Kẻ tấn công gửi các packet IKEv1 được thiết kế đặc biệt lợi dụng lỗi logic trong quá trình xác thực chứng chỉ.
Do lỗi logic, VPN gateway xử lý request như thể đã vượt qua xác thực mà thực tế chưa có mật khẩu hợp lệ.
Bước 3: Thiết lập Phiên VPN (VPN Session Establishment)
Kẻ tấn công thành công lập kết nối VPN tới mạng nội bộ của nạn nhân mà không cần bất kỳ thông tin xác thực nào — mật khẩu người dùng hay mã OTP đều bị bypass hoàn toàn.
Từ điểm này, kẻ tấn công có quyền truy cập tương đương một nhân viên hợp pháp đã kết nối VPN từ bên ngoài.
Bước 4: Reconnaissance trong mạng (Network Reconnaissance)
Kẻ tấn công quét mạng nội bộ để xác định các máy chủ quan trọng, chia sẻ tệp, hệ thống quản lý, và các điểm có giá trị cao.
Tìm kiếm các tài khoản đặc quyền, credentials được lưu trong cache, hoặc các phương tiện khác để leo thang đặc quyền.
Bước 5: Triển khai Ransomware (Ransomware Deployment)
Kẻ tấn công (Qilin affiliate) tải xuống payload ransomware từ máy chủ do chúng kiểm soát — thường là các binary ELF Linux nhắm vào máy chủ Linux.
Sử dụng các công cụ tấn công (RDP, PsExec, WMIC hoặc các công cụ native Linux) để thực thi ransomware trên các endpoint chọn lọc.
Bước 6: Mã hóa dữ liệu & Tống tiền (Data Encryption & Extortion)
Ransomware mã hóa các file dữ liệu quan trọng trên các hệ thống bị ảnh hưởng.
Qilin affiliate gửi yêu cầu tính tiền để "khôi phục" dữ liệu, thường kèm theo mối đe dọa công bố dữ liệu đã bị đánh cắp.
Khuyến nghị & Khắc phục
Check Point đã phát hành hotfix và CISA đã đưa CVE-2026-50751 vào danh sách KEV yêu cầu vá khẩn cấp. Đội ngũ FPT Threat Intelligence khuyến nghị người dùng và quản trị viên thực hiện ngay các hành động sau:
Cập nhật bản vá khẩn cấp: Cài đặt ngay hotfix của Check Point cho tất cả các deployment Remote Access VPN, Mobile Access và Spark Firewall bị ảnh hưởng.
Biện pháp tạm thời (nếu chưa thể vá ngay): Áp dụng một hoặc nhiều biện pháp sau để hạn chế rủi ro:
Vô hiệu hóa IKEv1: Cấu hình toàn cộng (Global Properties) của Remote Access VPN chỉ sử dụng IKEv2 (giao thức mới hơn).
Gỡ bỏ hỗ trợ Legacy Client: Tắt tùy chọn "Accept legacy remote access clients" trên VPN gateway.
Bắt buộc Machine Certificate: Cấu hình toàn cộng để yêu cầu bắt buộc (mandatory) chứng chỉ máy (Machine Certificate Authentication) cho tất cả kết nối.
Bật IPS & Tải chữ ký: Bật Intrusion Prevention System (IPS) và tải xuống chữ ký phát hiện lỗ hổng mới nhất.
Ngắt kết nối Internet: Hạn chế hoặc chặn truy cập công cộng tới VPN gateway. Chỉ cho phép IP từ nhân viên làm việc từ xa hoặc các chi nhánh được biết đến qua danh sách IP whitelist chặt chẽ.
Rà soát Dữ liệu Forensic Log Audit: Kiểm tra toàn bộ log của VPN gateway để tìm kiếm:
Các kết nối VPN thành công từ các user không được biết hoặc ngoài giờ làm việc.
Các yêu cầu xác thực thất bại tiếp theo là yêu cầu thành công (dấu hiệu bypass).
Hoạt động vượt mức bình thường từ bên trong mạng sau khi kết nối VPN được lập.
Danh sách IOCs
| IP |
|---|
| 45.77.149[.]152 |
| 209.182.225[.]136 |
| 38.60.157[.]139 |
| 162.33.177[.]101 |
| 45.76.26[.]42 |
| 144.208.127[.]155 |
| 38.54.88[.]201 |
| 38.54.107[.]167 |
| 66.42.99[.]200 |
| 45.63.104[.]106 |
| 45.61.136[.]173 |
| 146.71.81[.]184 |
| 208.123.119[.]167 |
| 64.176.228[.]109 |
| 158.247.195[.]147 |
| 144.208.127[.]134 |
| MD5 |
|---|
| 52fda5c1b9704544f32ee98d9060e689 |
| 51d39aa39478beeac94f2d12f682ecce |
