SAFE. Guía para proteger tu vida digital y tu privacidad
Canal de Telegram

8 jun 2026

Segu-Info » , » Explotan vulnerabilidad crítica en la VPN de Check Point

Explotan vulnerabilidad crítica en la VPN de Check Point

8 jun 2026, 4:51:00 p.m.   Comenta primero!
  ,  

Check Point ha alertado sobre la explotación activa de una vulnerabilidad crítica que afecta a las implementaciones de VPN de acceso remoto y acceso móvil configuradas para usar el protocolo de intercambio de claves IKEv1, actualmente obsoleto.

La vulnerabilidad, identificada como CVE-2026-50751 (CVSS: 9.3), consiste en una debilidad en el flujo lógico de la validación de certificados que permite a un atacante remoto no autenticado eludir la autenticación de usuario y establecer una conexión VPN de acceso remoto sin una contraseña válida.

"Al explotar una vulnerabilidad lógica en la validación de certificados, un atacante puede establecer una sesión VPN sin poseer una contraseña válida, eludiendo así los requisitos de autenticación", declaró Check Point. "Se requiere actividad adicional posterior a la autenticación para acceder a recursos internos o escalar privilegios".

La vulnerabilidad afecta a los siguientes productos y versiones:

  • Security Gateways R82.10 Jumbo Hotfix Take 19 o inferior, R82 Jumbo Hotfix Take 103 o inferior, R81.20 Jumbo Hotfix Take 141 o inferior, R81.10 (EOS), R81 (EOS) y R80.40 (EOS)
  • Spark Firewalls: R80.20.X (EOS), R81.10.X y R82.00.X

Para explotar la vulnerabilidad con éxito, se deben cumplir las siguientes condiciones:

  • El acceso remoto VPN o el acceso móvil deben estar habilitados.
  • IKEv1 debe estar habilitado para el acceso remoto.
  • Los gateways deben aceptar clientes de acceso remoto heredados.
  • Los gateways no deben requerir un certificado de máquina para las conexiones.

La empresa israelí de ciberseguridad indicó que detectó los primeros indicios de actividad sospechosa el 4 de junio de 2026, y que la primera explotación observada data del 7 de mayo de 2026. Se afirma que los esfuerzos de explotación se intensificaron a partir de este año. mes.

Check Point añadió que la actividad de explotación se ha limitado a "unas pocas docenas de organizaciones objetivo a nivel mundial". En un caso, la fase posterior a la explotación se ha asociado con una filial del ransomware Qilin.

"Creemos que la infraestructura de este actor de amenazas está explotando otras vulnerabilidades relacionadas con VPN, como las publicadas por Palo Alto Networks, Fortinet y F5", señaló. "Identificamos indicadores que sugieren que el actor podría usar el protocolo Tox para comunicarse, un patrón comúnmente asociado con los actores de ransomware con fines lucrativos".

Un aspecto clave es el uso de una infraestructura de servidor virtual privado (VPS) para llevar a cabo los ataques. Específicamente, esto implica depender de servidores VPS geolocalizados en un país específico para atacar a organizaciones dentro de sus fronteras. Una vez establecido el acceso, se descubrió que los atacantes intentaban descargar archivos ELF maliciosos de la infraestructura controlada por el actor.

Algunos aspectos de estos esfuerzos coinciden con un informe de Ctrl-Alt-Intel del mes pasado, que destacaba el abuso por parte del grupo de ransomware de los dispositivos VPN corporativos para el acceso inicial.

Un análisis más detallado de los componentes VPN afectados ha revelado una segunda vulnerabilidad, CVE-2026-50752 (CVSS: 7,40), que podría permitir un ataque de intermediario (AitM) en las conexiones VPN de sitio a sitio. No existen indicios de que esta vulnerabilidad haya sido explotada en ataques reales.

Fuente: THN



Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!