文章总结： 2026年6月披露的CheckPointVPN身份验证绕过漏洞CVE-2026-50751已被Qilin勒索软件团伙武器化攻击，攻击者利用已弃用IKEv1协议缺陷绕过认证建立VPN会话并部署勒索软件。文档详细分析了漏洞机理、攻击链还原、威胁行为体经济动机归因及基础设施溯源，提供包含紧急补丁更新、协议迁移、威胁狩猎要点的完整防御方案。 综合评分： 85 文章分类： 漏洞预警,威胁情报,勒索软件,应急响应,解决方案

Qilin勒索软件利用Check Point VPN 0day漏洞（CVE-2026-50751）武器化攻击：跨厂商VPN已成突破口

原创

威胁情报中心 威胁情报中心

奇安信威胁情报中心

2026年6月9日 11:30 北京

在小说阅读器读本章

去阅读

事件背景与威胁态势

2026年6月4日，Check Point Research 在发现异常活动迹象后启动调查，确认 CVE-2026-50751 已在野遭到积极利用。该漏洞为远程访问 VPN 和移动访问（Mobile Access）组件中已弃用 IKEv1 密钥交换协议下的身份验证绕过缺陷，CVSS 评分 9.3（Critical）。攻击者通过利用证书验证逻辑缺陷，在不持有有效用户密码的情况下建立 VPN 会话，实现完整身份验证绕过。

据公开披露，漏洞最早利用时间可追溯至 2026 年 5 月 7 日，至 6 月初利用尝试量显著上升。截至披露时，全球范围内仅观察到数十个目标组织遭受定向利用，影响面相对有限但精度较高。后渗透阶段确认存在与 Qilin 勒索软件关联方的攻陷后活动，攻击者展现出明确的经济动机。

漏洞机理与双 CVE 关联分析

CVE-2026-50751：身份验证绕过核心缺陷

该漏洞的根因在于 IKEv1 密钥交换处理流程中证书验证模块的逻辑缺陷。IKEv1 协议本身已被标记为弃用（deprecated），但部分 Check Point 部署仍启用该协议以兼容旧客户端。攻击者利用此逻辑流弱点绕过用户身份验证环节，在 Remote Access VPN 和 Mobile Access 通道上建立未经授权的 VPN 会话。

需特别指出的是，身份验证绕过仅是初始访问手段——攻击者获取 VPN 通道后，仍需通过后渗透操作（提权、横向移动、凭据窃取等）才能触达内网资源。这一特性意味着仅审计 VPN 认证日志不足以发现完整攻击链，必须结合后渗透阶段的异常行为进行关联分析。

CVE-2026-50752：调查衍生发现的中间人攻击风险

在 CVE-2026-50751 调查过程中，Check Point 使用其 AI 辅助应用安全平台 BLAST 对受影响 VPN 组件进行了扩展审查，发现并修复了另一证书验证逻辑缺陷 CVE-2026-50752（CVSS 7.4）。该缺陷允许攻击者在特定条件下对基于 IKEv1 的站点到站点（Site-to-Site）VPN 通信实施中间人攻击。

目前未观察到 CVE-2026-50752 的在野利用，但其与 CVE-2026-50751 共享同一根因（已弃用 IKEv1 协议的证书验证逻辑薄弱），这表明 IKEv1 代码路径整体安全性需要系统性评估。安全团队应将两个 CVE 的修复视为同一治理工作的组成部分。

受影响版本范围

| 漏洞 | 影响产品 | 影响版本 | 修复知识库 | | — | — | — | — | | CVE-2026-50751 | Mobile Access / SSL VPN、Remote Access VPN、Spark Firewall | R80.20.X (EOS)、R80.40 (EOS)、R81 (EOS)、R81.10 (EOS)、R81.10.X、R81.20、R82、R82.00.X、R82.10 | sk185033 | | CVE-2026-50752 | Security Gateways、Spark Firewall | 同上 | sk185035 |

#

#

攻击链还原与 MITRE ATT&CK 映射

基于 Check Point 披露的攻击时间线和后渗透观测，可重建如下攻击链：

阶段一：初始访问（Initial Access）

• MITRE ATT&CK 技术：T1190（利用面向公众的应用）
• 攻击者利用 CVE-2026-50751 绕过 Check Point VPN 身份验证，获取远程访问 VPN 通道
• 利用活动始于 2026 年 5 月 7 日，6 月初利用频次显著增长

阶段二：执行与持久化（Execution & Persistence）

• 攻击者从受控基础设施下载恶意 ELF 可执行文件
• 后渗透活动中确认到 Qilin Linux 勒索软件二进制文件的部署

阶段三：影响（Impact）

• MITRE ATT&CK 技术：T1486（数据加密以产生影响）
• 部署 Qilin 勒索软件变种，加密目标系统数据

值得关注的战术特征：攻击者使用的 VPS 基础设施与目标组织地理存在显著关联——例如，针对中国台湾地区组织的攻击中，使用了同样定位于中国台湾的 VPS 基础设施。这种地理一致性模式表明攻击者具备基础设施预置能力，并非随机扫描式机会主义攻击。

威胁行为体归因分析

经济动机判定

Check Point 以中等置信度评估 CVE-2026-50751 的利用行为体为 Qilin 勒索软件关联团伙，属于经济驱动型威胁行为体。判定依据包括：

1. 后渗透载荷确认：在攻陷后活动中直接观察到 Qilin Linux 勒索软件二进制文件及其 ELF 投递链
2. 通信模式特征：基础设施中观察到 Tox 协议的使用痕迹——Tox 是去中心化点对点通信协议，在经济驱动型勒索软件团伙中被广泛用于赎金谈判和内部通信，与国家级 APT 的 C2 通信模式存在明显差异
3. 多厂商 VPN 武器化能力：该行为体还利用过 Palo Alto、Fortinet 和 F5 等厂商的 VPN 相关漏洞，表明其具备系统化的 VPN 攻击框架，而非单一漏洞的临时利用

跨厂商 VPN 攻击活动画像

该行为体的跨厂商 VPN 漏洞利用行为勾勒出一个清晰的攻击画像：以远程访问 VPN 为核心初始访问向量，通过持续跟踪各主流 VPN 厂商的安全更新和漏洞披露，维持对全球企业远程办公边界的渗透能力。Qilin 勒索软件采用勒索即服务（RaaS）模式，此类关联团伙通常以”初始访问经纪人”（IAB）身份活动，从 VPN 边界突破到勒索软件部署的完整链条高度商业化。

基础设施溯源

攻击者使用专用 VPS 基础设施进行攻击活动，观测到的托管商包括：

• Kaupo Cloud HK（考普云）
• Shock Hosting
• Vultr Holdings

这些托管商普遍接受匿名注册或注册门槛较低，为经济驱动型攻击者提供了基础设施获取的便利性。

IOC 深度验证与外部情报交叉分析

IP 地址威胁情报交叉验证

利用外部威胁情报数据对披露的 IOC 进行验证，发现了重要的关联线索：

144.208.127.155（Shock Hosting LLC，AS395092）

• 地理位置：新泽西州皮斯卡特维，美国
• 外部情报记录显示该 IP 在 2023 年曾与 BianLian 勒索软件团伙的 IOC 列表产生关联（1275.ru/redac 等公开威胁情报源）
• 历史域名关联：ajax-req.softether.net（2023-10-13）
• 这一发现值得高度关注：BianLian 与 Qilin 均为经济驱动型勒索软件家族，该 IP 基础设施的跨团伙复用模式可能指向勒索软件生态中的基础设施共享行为，或同一下游关联团伙在不同时间窗口内使用不同勒索软件品牌

38.60.157.139（Kaopu Cloud HK Limited / KaopuCloud-US，AS138915）

• 地理位置：华盛顿哥伦比亚特区，美国
• 外部情报安全状态：suspicious，标记时间 2026-05-25
• 恶意活动标签：SCANNER（扫描行为），首次/末次观测时间 2026-05-25 02:29:33，针对 Linux 系统的 HTTP 扫描，攻击类型为扫描，中危严重程度，状态为 ACTIVE
• 该扫描活动的时间节点（5月25日）恰好处于 CVE-2026-50751 最早利用时间（5月7日）之后、攻击频次显著增长（6月初）之前，暗示该 IP 可能同时用于漏洞扫描探测和实际攻击投递

Kaupo Cloud 基础设施的地缘分析

Kaopu Cloud（考普云/靠谱云）为注册于中国香港的云服务提供商，其在美国运营的基础设施（KaopuCloud-US）被攻击者利用。这从威胁情报角度提出了一个需要关注的点：使用中资背景云服务商的国际节点作为攻击基础设施，可能在归因分析中产生噪音。

完整 IOC 清单

| 类型 | 指标 | 关联威胁 | | — | — | — | | IP | 45.77.149.152 | CVE-2026-50751 攻击基础设施 | | IP | 209.182.225.136 | CVE-2026-50751 攻击基础设施 | | IP | 38.60.157.139 | CVE-2026-50751 攻击基础设施，SCANNER 活动 | | IP | 162.33.177.101 | CVE-2026-50751 攻击基础设施 | | IP | 45.76.26.42 | CVE-2026-50751 攻击基础设施 | | IP | 144.208.127.155 | CVE-2026-50751 攻击基础设施，历史关联 BianLian | | IP | 38.54.88.201 | CVE-2026-50751 攻击基础设施 | | IP | 38.54.107.167 | CVE-2026-50751 攻击基础设施 | | IP | 66.42.99.200 | CVE-2026-50751 攻击基础设施 | | 文件哈希 | 52fda5c1b9704544f32ee98d9060e689 | Qilin 关联载荷 | | 文件哈希 | 51d39aa39478beeac94f2d12f682ecce | Qilin 关联载荷 |

#

防御建议与威胁狩猎指南

紧急处置措施

1. 立即更新：对所有受影响版本的 Check Point Security Gateway 应用 sk185033 和 sk185035 对应的热修复补丁
2. 协议禁用：若业务允许，将 VPN 配置中的 IKEv1 密钥交换迁移至 IKEv2，从根本上消除攻击面
3. 凭据轮换：鉴于攻击者已建立 VPN 会话后可能执行了凭据窃取操作，对所有 VPN 接入相关的用户凭据和证书进行强制轮换
4. 日志审计起点：以 2026 年 5 月 7 日为起点，对 Check Point VPN 设备的认证日志、VPN 会话建立记录、证书验证日志进行全面审计

威胁狩猎要点

1. VPN 异常会话检测：审计 5 月 7 日以来是否存在无对应成功认证记录但建立了 VPN 会话的情况——这可能是 CVE-2026-50751 利用的直接证据
2. IOC 匹配扫描：将上述 9 个 IP 和 2 个文件哈希纳入终端检测和网络流量检测系统进行历史回溯
3. 后渗透行为检测：Qilin Linux 勒索软件的投递通常包含 ELF 文件下载、权限提升尝试和批量文件加密操作。监控 VPN 接入后的内网横向移动行为、SMB/RDP 异常连接、计划任务/服务创建事件
4. 基础设施关联分析：重点关注 38.60.157.139 的 SCANNER 扫描活动和 144.208.127.155 的历史 BianLian 关联，在网络出口和边界设备上检查与这些 IP 的历史通信记录

长期治理建议

1. VPN 生命周期管理：建立 VPN 设备固件和配置的定期审计机制，跟踪厂商安全公告和 EOS 状态。R80.20.X、R80.40、R81 等版本已处于 EOS 状态，应纳入优先升级计划
2. 零信任架构演进：VPN 身份验证绕过类漏洞的频发（过去两年内 Fortinet、Palo Alto、Check Point 等厂商均曝出相关高危漏洞）凸显了传统 VPN 边界模型的固有脆弱性，建议逐步向零信任网络访问（ZTNA）架构迁移
3. 废弃协议清理：制定并执行企业内部 VPN 协议和加密套件的弃用策略，消除 IKEv1、TLS 1.0/1.1 等已弃用协议的残留使用

#

#

参考来源

• https://blog.checkpoint.com/security/check-point-releases-important-hotfix-for-vulnerabilities-in-deprecated-ikev1-vpn-protocol/
• https://support.checkpoint.com/results/sk/sk185033
• https://support.checkpoint.com/results/sk/sk185035
• 外部威胁情报数据来源：奇安信威胁情报中心 [QAX-TI-MCP]

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：奇安信威胁情报中心 威胁情报中心 威胁情报中心《Qilin勒索软件利用Check Point VPN 0day漏洞（CVE-2026-50751）武器化攻击：跨厂商VPN已成突破口》