Nowo zidentyfikowana luka w produktach Check Point otrzymała 7.4 punktu w skali CVSS (Common Vulnerability Scoring System — skala 0-10 oceniająca powagę luki). 1 Problem, oznaczony jako CVE-2026-50752 (Common Vulnerabilities and Exposures, identyfikator publicznie znanej luki), dotyczy logiki walidacji certyfikatów w przestarzałym protokole IKEv1. 2 Skuteczne wykorzystanie podatności może pozwolić na przechwycenie lub modyfikację ruchu w tunelu VPN. 3

TL;DR

  • Produkt: Check Point Security Gateways, Spark Firewall. 4
  • Wektor: Atak Man-in-the-Middle (MITM — atak polegający na podsłuchaniu lub modyfikacji ruchu) na połączenia VPN site-to-site. 5
  • Luka: CVE-2026-50752, błąd walidacji certyfikatu w przestarzałym protokole IKEv1. 2
  • IoC: Brak. Atak nie został zaobserwowany w sieci. 6 7 8
  • Kogo dotyczy: Firmy używające tuneli VPN site-to-site na podatnych wersjach oprogramowania Check Point, które korzystają z uwierzytelniania certyfikatami w IKEv1. 5
  • Pierwszy ruch: Weryfikacja użycia IKEv1, migracja do IKEv2 lub natychmiastowa instalacja hotfixa. 9

Wektor ataku

Zidentyfikowana podatność tkwi w logice walidacji certyfikatów w protokole IKEv1. 2 Jest to protokół przestarzały, jednak wciąż spotykany w niektórych konfiguracjach sieciowych. Luka może pozwolić nieautoryzowanemu atakującemu, który zdołał ustawić się w pozycji Man-in-the-Middle, na obejście mechanizmów walidacji certyfikatu. 5 Dotyczy to połączeń VPN typu site-to-site, które opierają się na uwierzytelnianiu certyfikatami. 10

Skutkiem udanego ataku jest możliwość przechwycenia lub nawet modyfikacji całego ruchu przechodzącego przez podatny tunel VPN. 3 Dla organizacji, które przesyłają w ten sposób wrażliwe dane, konsekwencje mogą być poważne. Problem dotyczy szerokiej gamy produktów Check Point, w tym Security Gateways i Spark Firewall. 4 Lista podatnych wersji obejmuje m.in. R80.20.X, R80.40, R81, R81.10, R81.20 oraz R82. 11 Warto zauważyć, że część z tych wersji ma już status EOS (End-of-Support), co dodatkowo komplikuje proces zarządzania bezpieczeństwem.

Telemetria producenta nie wskazuje na aktywne wykorzystanie tej luki w rzeczywistych atakach. 6 7 8 Oznacza to, że mamy do czynienia z zagrożeniem potencjalnym, a nie z trwającą kampanią. Daje to administratorom czas na reakcję, ale nie powinno być powodem do zaniechania działań.

Wskaźniki kompromitacji

Na ten moment nie istnieją publiczne wskaźniki kompromitacji (IoC — Indicators of Compromise) dla tej luki. Producent, firma Check Point, nie zaobserwował jej wykorzystania w sieci. 6 Podobne obserwacje ma zespół Rapid7. 8 Brak IoC oznacza, że poszukiwanie śladów ataku w logach jest niemożliwe bez dodatkowych informacji. Zamiast tego, należy skupić się na działaniach proaktywnych.

Co zrobić w 24-48h

Zagrożenie, mimo braku aktywnych ataków, wymaga uwagi, szczególnie w polskich firmach, gdzie starsze konfiguracje VPN typu site-to-site mogą wciąż być w użyciu do łączenia oddziałów.

  1. Audyt konfiguracji VPN: Należy niezwłocznie zweryfikować, czy w użyciu są tunele VPN site-to-site oparte o protokół IKEv1 z uwierzytelnianiem certyfikatami. To pierwszy i najważniejszy krok.
  2. Migracja do IKEv2: Rekomendowanym i długoterminowym rozwiązaniem jest migracja z przestarzałego protokołu IKEv1 do jego następcy, IKEv2. IKEv2 jest standardem branżowym, oferuje lepsze mechanizmy bezpieczeństwa i jest pozbawiony znanych wad architektonicznych poprzednika. Taka migracja eliminuje nie tylko tę konkretną lukę, ale całą klasę potencjalnych problemów z IKEv1.
  3. Instalacja hotfixa: Jeśli natychmiastowa migracja do IKEv2 nie jest możliwa, należy bezwzględnie zainstalować poprawki bezpieczeństwa (hotfix) udostępnione przez Check Point. 9 Producent zaleca ich aplikację w celu zminimalizowania ryzyka.
  4. Weryfikacja wersji EOS: Sprawdź, czy używane urządzenia nie pracują na wersjach oprogramowania ze statusem End-of-Support. 11 Jeśli tak, ryzyko bezpieczeństwa jest znacznie wyższe, ponieważ nie otrzymują one już regularnych aktualizacji. W takim przypadku plan modernizacji infrastruktury powinien stać się absolutnym priorytetem.
  5. Zgłoszenie incydentu: W przypadku podejrzenia, że infrastruktura mogła zostać skompromitowana przed wdrożeniem poprawek, rekomendowane jest zgłoszenie incydentu do krajowego zespołu reagowania, CERT Polska. Zespół ten może pomóc w analizie i dalszych krokach.

Atrybucja

Luka CVE-2026-50752 została zidentyfikowana wewnętrznie przez zespół Check Point Research. 12 Odkrycia dokonano podczas rozszerzonej analizy komponentów VPN z użyciem platformy BLAST, w następstwie badania innej podatności. 12 Nie ma tu mowy o atrybucji do zewnętrznej grupy, jest to wynik proaktywnych działań producenta oprogramowania.

Źródła

Polecane narzędzia

  • Proton VPN — Szwajcarski VPN z polskimi serwerami i darmowym planem bez limitu transferu. Audytowany no-log, Secure Core przez Szwajcarię/Islandię.
  • NordVPN — Najszybszy VPN w testach z polskich serwerów; 30 dni gwarancji zwrotu.

Powyższe linki to linki afiliacyjne — kliknięcie nie zwiększa ceny, a redakcja otrzymuje niewielką prowizję, która finansuje niezależne testy. Polityka afiliacji.

Zobacz też

Footnotes

  1. CVE-2026-50752 ma wynik CVSS 7.4. — https://blog.checkpoint.com/security/check-point-releases-important-hotfix-for-vulnerabilities-in-deprecated-ikev1-vpn-protocol/

  2. Luka CVE-2026-50752 dotyczy logiki walidacji certyfikatów w przestarzałym protokole wymiany kluczy IKEv1. — https://nvd.nist.gov/vuln/detail/CVE-2026-50752 2 3

  3. Skuteczne wykorzystanie luki może pozwolić na przechwycenie lub modyfikację ruchu przechodzącego przez tunel VPN. — https://nvd.nist.gov/vuln/detail/CVE-2026-50752 2

  4. Luka CVE-2026-50752 dotyczy produktów Security Gateways i Spark Firewall. — https://blog.checkpoint.com/security/check-point-releases-important-hotfix-for-vulnerabilities-in-deprecated-ikev1-vpn-protocol/ 2

  5. Nieautoryzowany atakujący, działający jako man-in-the-middle, może ominąć walidację certyfikatów w połączeniach VPN site-to-site, które używają uwierzytelniania opartego na certyfikatach. — https://nvd.nist.gov/vuln/detail/CVE-2026-50752 2 3

  6. Check Point nie zaobserwował wykorzystania luki CVE-2026-50752 w rzeczywistych atakach. — https://blog.checkpoint.com/security/check-point-releases-important-hotfix-for-vulnerabilities-in-deprecated-ikev1-vpn-protocol/ 2 3

  7. Nie zaobserwowano wykorzystania CVE-2026-50752 w rzeczywistych atakach. — https://blog.checkpoint.com/security/check-point-releases-important-hotfix-for-vulnerabilities-in-deprecated-ikev1-vpn-protocol/ 2

  8. Nie zaobserwowano wykorzystania CVE-2026-50752. — https://www.rapid7.com/blog/post/etr-critical-check-point-vpn-zero-day-exploited-in-the-wild-cve-2026-50751/ 2 3

  9. Klienci są zalecani do zastosowania aktualizacji w celu złagodzenia potencjalnego zagrożenia związanego z CVE-2026-50752. — https://blog.checkpoint.com/security/check-point-releases-important-hotfix-for-vulnerabilities-in-deprecated-ikev1-vpn-protocol/ 2

  10. CVE-2026-50752 to luka w walidacji certyfikatów w przestarzałym protokole wymiany kluczy IKEv1, która może umożliwić atak man-in-the-middle na połączenia VPN site-to-site w określonych warunkach. — https://blog.checkpoint.com/security/check-point-releases-important-hotfix-for-vulnerabilities-in-deprecated-ikev1-vpn-protocol/

  11. Dotknięte wersje to R80.20.X (EOS), R80.40 (EOS), R81 (EOS), R81.10 (EOS), R81.10.X, R81.20, R82, R82.00.X, R82.10. — https://blog.checkpoint.com/security/check-point-releases-important-hotfix-for-vulnerabilities-in-deprecated-ikev1-vpn-protocol/ 2

  12. Luka CVE-2026-50752 została zidentyfikowana podczas rozszerzonego przeglądu komponentów VPN przez Check Point Research, przy użyciu platformy BLAST. — https://blog.checkpoint.com/security/check-point-releases-important-hotfix-for-vulnerabilities-in-deprecated-ikev1-vpn-protocol/ 2