最新消息
Check Point VPN 爆零日漏洞遭利用
2026-06-09全球知名資安大廠 Check Point 旗下產品的虛擬私人網路(VPN)功能近期爆發嚴重的零日漏洞(Zero-day vulnerability),目前已知遭駭客組織積極利用。根據調查,此次攻擊事件與惡名昭彰的 Qilin 勒索軟體附屬組織有高度關聯。專家呼籲企業與組織應立即套用官方釋出的修補程式,以防堵潛在的災難性網路攻擊。
漏洞細節與技術剖析
根據 Check Point 於 2026 年 6 月 8 日發布的安全通報,此次被揭露的核心漏洞追蹤編號為 CVE-2026-50751,其通用漏洞評分系統(CVSS)分數高達 9.3 分,屬於「嚴重」(Critical)等級。該漏洞主要影響配置了老舊 IKEv1 金鑰交換協定的 Check Point Remote Access VPN 與 Mobile Access 部署環境。
IKEv1(網際網路金鑰交換第一版)是一種誕生於 1998 年的安全認證協定,過去廣泛用於建立經過認證與加密的 VPN 隧道。然而,該協定因架構老舊,多年來已被業界列為不建議使用(Deprecated)的技術,目前多半建議全面升級至後繼者 IKEv2。
在此次事件中,CVE-2026-50751 是一個身分驗證繞過(Authentication Bypass)漏洞。攻擊者透過利用憑證驗證過程中的邏輯缺陷,可以在無需擁有合法使用者密碼的情況下,強制建立 VPN 連線,等同於直接瓦解了第一線的身分驗證防護機制。值得注意的是,雖然攻擊者可藉此連入系統,但若要進一步存取內部核心資源或提升權限,仍需要執行額外的漏洞利用或後滲透(Post-authentication)動作。
此外,Check Point 在調查過程中也順帶發現了另一個相關漏洞,追蹤編號為 CVE-2026-50752(CVSS 評分 7.4)。此漏洞同樣源自 IKEv1 憑證驗證邏輯中的條件限制缺陷,在特定情況下,可能允許攻擊者對 VPN 站對站(Site-to-site)連線發動中間人攻擊(Man-in-the-Middle Attack)。不過,目前尚無證據顯示該漏洞已被投入實戰利用。
攻擊活動與勒索軟體威脅
目前,CVE-2026-50751 的危險性遠高於後者,因為它正處於活躍的被利用階段。Check Point 官方證實,這個零日漏洞在最近幾週內,已對全球數十個特定目標組織發動了針對性攻擊。
Check Point 研究團隊(Check Point Research)在追蹤駭客的後滲透活動時,發現了與 Qilin 勒索軟體附屬組織(Affiliate)高度重疊的行為特徵。這表明幕後的威脅行動者具有強烈的財務動機。除了 Check Point 產品外,該組織也被懷疑正在利用 Palo Alto Networks、Fortinet 以及 F5 等其他廠牌的已知 VPN 相關漏洞進行廣泛攻擊。
在通訊與基礎設施方面,調查人員發現攻擊者疑似使用 Tox 進行內部聯繫。Tox 是一款合法的開源點對點通訊協定,但因其高度隱匿性,近年來常被勒索軟體駭客濫用。同時,攻擊者大量租用專屬虛擬專屬主機(VPS)來發動攻擊,且具備高度的地域針對性。例如,當攻擊目標為台灣的企業時,駭客會刻意使用地理位置同樣位於台灣的 VPS 基礎設施來發動攻擊,藉此偽裝成在地流量,降低資安防護系統的警戒心。
從時間軸來看,Check Point 最早於 2026 年 6 月 4 日首次偵測到惡意活動,但經過回溯分析,確認最早的漏洞利用跡象可追溯至 5 月 7 日。隨著時間推移,針對該漏洞的攻擊活動在 6 月上旬呈現顯著攀升的趨勢。
受影響的系統版本
此次受到波及的 Check Point 設備涵蓋了多款 Security Gateways(安全閘道器)與 Spark Firewalls(防火牆)。許多已達生命週期終點(End of Service, EOS)的舊版本也受到影響。受影響的具體版本如下表所示:
| 產品類別 | 受影響版本(包含以下或更早版本) | 狀態備註 |
| Security Gateways | R82.10 Jumbo Hotfix Take 19 | 需立即更新 |
| Security Gateways | R82 Jumbo Hotfix Take 103 | 需立即更新 |
| Security Gateways | R81.20 Jumbo Hotfix Take 141 | 需立即更新 |
| Security Gateways | R81.10, R81, R80.40 | 已終止服務 (EOS) |
| Spark Firewalls | R82.00.X, R81.10.X | 需立即更新 |
| Spark Firewalls | R80.20.X | 已終止服務 (EOS) |
官方修補與緩解建議
面對嚴峻的資安威脅,Check Point 強烈呼籲所有客戶應以最快速度套用官方釋出的熱修補程式(Hotfixes)。對於仍在使用已終止服務(EOS)版本的企業,應立即將設備升級至受支援的版本,以確保獲得完整的安全防護。
若企業因營運考量無法立即進行系統更新,Check Point 也提供了下列臨時緩解措施,以降低遭駭客入侵的風險:
- 全面禁用 IKEv1: 更改 VPN 加密設定,強制系統僅使用較安全的 IKEv2 協定。
- 移除舊版支援: 在設定中移除對傳統遠端存取客戶端(Legacy Remote Access client)連線的支援。
- 強化憑證驗證: 將設備的機器憑證身分驗證(Machine Certificate Authentication)設定為強制執行,以阻擋未經授權的連線嘗試。
除了系統層面的修補,資安事件應變團隊(Incident Response Teams)也應立即展開內部調查。鑑於駭客活動早在五月初就已現蹤,企業應優先針對 2026 年 5 月 7 日之後的所有 VPN 存取日誌、系統日誌與網路配置進行深度的鑑識與稽核。若發現不明 IP 位址的憑證認證嘗試,應立即切斷異常連線並重置相關憑證。
結語
此次 Check Point VPN 零日漏洞事件再次凸顯了企業內部環境中「技術負債」的致命風險。諸如 IKEv1 這類早該被淘汰的老舊協定,往往成為駭客突破企業邊界防禦的最脆弱環節。企業不僅需要保持設備軟體的最新狀態,更應定期盤點並汰除不符現代安全標準的網路協定,落實零信任(Zero Trust)架構,才能在日益猖獗的勒索軟體威脅中全身而退。