CISA har beordrat federala myndigheter att säkra system som påverkas av en Check Point-sårbarhet som angripare aktivt utnyttjar i ransomwareattacker. Den amerikanska cybersäkerhetsmyndigheten lade till bristen i sin katalog över kända exploaterade sårbarheter, Known Exploited Vulnerabilities (KEV), efter att ha bekräftat att hotaktörer använder den i verkliga intrång.
Beslutet innebär att myndigheter inom Federal Civilian Executive Branch måste åtgärda berörda system senast den 11 juni enligt Binding Operational Directive 22-01. CISA använder KEV-katalogen för att uppmärksamma sårbarheter som utgör en omedelbar risk för myndighetsnätverk och rekommenderar ofta även privata organisationer att prioritera samma säkerhetsbrister.
Angripare utnyttjar svaghet i VPN-autentisering
Sårbarheten, som spåras som CVE-2026-50751, påverkar flera Check Point-produkter som använder det äldre VPN-protokollet IKEv1.
Forskarna upptäckte att angripare kan utnyttja bristen för att kringgå autentisering och etablera VPN-anslutningar utan giltiga inloggningsuppgifter. Denna åtkomst kan ge en väg in i företagsnätverk och skapa möjligheter för ytterligare skadlig aktivitet.
Check Point klassificerade sårbarheten som kritisk och publicerade säkerhetsuppdateringar efter att företaget identifierat aktiva försök till exploatering.
Forskare kopplar attackerna till ransomwareaktivitet
Säkerhetsforskare som undersökte attackerna hittade bevis som kopplar utnyttjandet av sårbarheten till en affiliate inom ransomwaregruppen Qilin.
Angriparna använde enligt uppgifter bristen för att få initial åtkomst till målsystem innan de genomförde ytterligare aktiviteter. Även om forskarna inte har kunnat koppla varje attack till en specifik grupp ökar sambandet med ransomwareverksamhet hotnivån avsevärt för organisationer som använder sårbara system.
Ransomwaregrupper riktar sig ofta mot VPN-infrastruktur eftersom den kan ge direkt åtkomst till interna nätverk utan att angriparna behöver använda nätfiskekampanjer eller stulna inloggningsuppgifter.
CISA inför federal tidsfrist för uppdateringar
Genom att lägga till sårbarheten i KEV-katalogen bekräftade CISA formellt att angripare redan utnyttjar bristen i verkliga attacker.
Federala myndigheter måste installera tillgängliga säkerhetsuppdateringar eller vidta rekommenderade skyddsåtgärder senast den 11 juni. CISA utfärdar sådana tidsfrister för att minska exponeringen i myndighetsnätverk och begränsa möjligheterna för angripare att missbruka kända sårbarheter.
Även om direktivet endast gäller federala myndigheter uppmanar cybersäkerhetsexperter ofta privata organisationer att behandla alla sårbarheter i KEV-katalogen som akuta uppdateringsprioriteringar.
Organisationer bör granska exponerade system
Check Point har redan publicerat korrigeringar och vägledning för att skydda berörda produkter. Organisationer bör identifiera system som använder den sårbara konfigurationen och installera uppdateringarna så snabbt som möjligt.
Säkerhetsteam bör dessutom granska VPN-loggar och autentiseringsposter efter ovanlig aktivitet. Eftersom angripare redan har utnyttjat bristen i verkliga attacker kan organisationer inte utgå från att ouppdaterade system är opåverkade.
Snabba utredningar kan hjälpa till att upptäcka obehörig åtkomst innan angripare hinner etablera långvarig närvaro eller distribuera ransomware.
Slutsats
Check Point-sårbarheten har utvecklats till ett akut säkerhetsproblem efter att angripare börjat utnyttja den i ransomwarerelaterade attacker. CISA:s beslut att lägga till bristen i KEV-katalogen understryker allvaret i hotet och den potentiella påverkan på exponerade organisationer.
Eftersom aktiv exploatering redan pågår bör organisationer prioritera säkerhetsuppdateringar för berörda system och samtidigt granska sina nätverk efter tecken på intrång.
0 svar till ”Check Point-sårbarhet läggs till i CISA:s KEV-katalog”