CVE-2026-50751: כשה-VPN שאמור להגן עליכם מאפשר לתוקף להיכנס ללא סיסמה
דמיינו שה-VPN של הארגון שלכם — המנהרה המוצפנת שאמורה להגן על כל מה שעובדיכם המרוחקים מתחברים דרכה — הוא למעשה דלת נעולה עם מנגנון פגום. תוקף לא צריך לפרוץ אותה, לא צריך לנחש את הקוד. הוא רק צריך לדפוק עליה בדרך הנכונה — והיא נפתחת מאליה.
זה בדיוק מה שמאפשרת CVE-2026-50751 — פגיעות קריטית ב-Check Point Remote Access VPN שקיבלה ציון CVSS של 9.3 מתוך 10, ומנוצלת בפועל מאז ה-7 במאי 2026 על ידי שותף של כנופיית כופרה בשם Qilin. CISA הוסיפה אותה ל-Known Exploited Vulnerabilities Catalog ב-8 ביוני 2026 עם דד-ליין תיקון של שלושה ימים — תקופת הדחיפות הקצרה ביותר שהסוכנות מעניקה לפגיעויות קריטיות.
מה זה VPN ולמה הוא כל כך חשוב?
VPN (Virtual Private Network) הוא מנהרה מוצפנת בין מכשיר העובד לבין הרשת הפנימית של הארגון. כשעובד מרחוק מתחבר דרך VPN, הוא יכול לגשת לשרתים, קבצים ומערכות פנימיות בדיוק כאילו ישב פיזית במשרד — והתעבורה כולה מוצפנת ומוגנת מהאזנות חיצוניות.
Check Point היא אחת מחברות אבטחת הסייבר הגדולות בעולם — וחברה ישראלית שמוצריה נפרסים בממשלות, ארגוני בריאות, מוסדות פיננסיים וחברות Fortune 500 בכל רחבי הגלובוס. מוצרי ה-VPN שלה — Remote Access VPN, Mobile Access ו-Spark Firewalls — הם תשתית קריטית עבור מיליוני עובדים מרוחקים. כשפגיעות מתגלה בתוכנה הזו — ההשלכות הן עצומות.
IKEv1: פרוטוקול ישן שהפך לחור אבטחה
לפני שמנהרת VPN נפתחת, שני הצדדים — הלקוח (מחשב העובד) וה-Gateway (שרת ה-VPN של הארגון) — צריכים לבצע לחיצת יד דיגיטלית: תהליך שבו הם מזדהים זה בפני זה ומסכימים על הצפנה. IKEv1 (Internet Key Exchange version 1) הוא הפרוטוקול שמגדיר כיצד לחיצת יד זו מתבצעת — בדיוק כמו הסכם ביטחוני שקובע: “כך תוכיח לי שאתה מי שאתה, לפני שאני פותח לך את הדלת.”
הבעיה: IKEv1 הוא פרוטוקול מיושן שפותח בשנות התשעים. IKEv2 — גרסה מחודשת ומאובטחת יותר — החליפה אותו לפני שנים רבות. אבל ארגונים רבים ממשיכים להשאיר את IKEv1 פעיל, מכיוון שיש להם ציוד ישן, מחשבים מדורות קודמים, או לקוחות VPN שטרם עודכנו ואינם תומכים ב-IKEv2. “תאימות לאחור” — שמירה על פרוטוקולים ישנים כדי לא לנתק משתמשים עם ציוד ישן — הפכה הפעם לחולשת אבטחה קריטית.
הפגיעות הטכנית: לוגיקה שגויה בשלב האימות
כשלקוח VPN מתחיל חיבור IKEv1, שרת Check Point אמור לבצע תהליך אימות זהות מלא: הלקוח מציג תעודה דיגיטלית — קובץ מוצפן שמוכיח שהמכשיר שייך לארגון, בדומה לדרכון דיגיטלי — ולאחר מכן מזין שם משתמש וסיסמה. רק אחרי שתי הבדיקות האלו, ה-Gateway פותח את מנהרת ה-VPN.
שגיאת הלוגיקה: בתנאים מסוימים — כאשר ה-Gateway מוגדר לאפשר לקוחות Remote Access ישנים, ואינו מחייב תעודת מכשיר (Machine Certificate) — קוד האימות מכיל פגם. הלקוח יכול לייזום חיבור IKEv1, להגיע לשלב אימות התעודה — ולמעשה לדלג עליו לחלוטין — והשרת עדיין מסמן את ה-Session כמאומת בהצלחה. השרת חושב שביצע בדיקה. בפועל, לא בדק דבר.
ארבעת התנאים הנדרשים להפעלת הפגיעות:
- Remote Access VPN או Mobile Access מופעלים ב-Gateway
- פרוטוקול IKEv1 פעיל
- ה-Gateway מוגדר לקבל לקוחות Remote Access ישנים
- לא מוגדרת דרישת תעודת מכשיר לאימות
שלב אחר שלב: איך מתבצעת המתקפה
שלב 1: סריקת האינטרנט
התוקף סורק את האינטרנט ומאתר שרתי Check Point Gateway שבהם IKEv1 פעיל. כלי סריקה ציבוריים כמו Shodan מאפשרים לזהות אלפי שרתים כאלה — בלחיצת כמה פקודות.
שלב 2: שליחת בקשה מעוצבת
התוקף שולח בקשת חיבור IKEv1 מעוצבת במיוחד, שמנצלת את שגיאת לוגיקת אימות התעודה. אין צורך בסיסמה, אין צורך בתעודה חוקית.
שלב 3: ה-Gateway מאמת ללא בדיקה
שרת ה-VPN מקבל את הבקשה ומסמן את ה-Session כמאומת — מבלי שהתוקף הציג מעולם תעודה חוקית או ידע סיסמה כלשהי.
שלב 4: כניסה לרשת הארגונית
התוקף נמצא כעת בתוך הרשת הפנימית של הארגון, עם מעמד של משתמש VPN לגיטימי לכל דבר. גישה לשרתים, מסדי נתונים, תחנות עבודה — הכל.
שלב 5: פריסת כופרה ותנועה רוחבית
מתוך הרשת, שותף Qilin מבצע תנועה רוחבית (lateral movement) — מתפשט ממכשיר למכשיר, מזהה מערכות קריטיות ונתונים רגישים — ולבסוף פורס את כופרת Qilin שמצפינה קבצים ותובעת כופר.
מי הם Qilin ולמה זה מסוכן?
Qilin הם קבוצת Ransomware-as-a-Service (RaaS) — מודל עסקי שפועל כמו זכיינות של פשע סייבר. מפתחי Qilin כותבים את קוד הכופרה ומספקים תשתית, “שותפים” (affiliates) עצמאיים מבצעים את המתקפות, ושניהם מחלקים את ה רווחים. זה מאפשר אפילו לתוקפים ברמה טכנית מוגבלת יחסית לבצע מתקפות כופרה מתוחכמות.
Qilin ידועים בגישת “סחיטה כפולה”: לא רק מצפינים נתונים ותובעים כופר — אלא גם גונבים אותם מראש ומאיימים לפרסמם ברבים. גם אם יש לכם גיבויים מצוינים, הדלפת מידע רגיש עלולה לגרום נזק בלתי הפיך — משפטי, תדמיתי, ורגולטורי.
חלון הניצול: התוקפים החלו לנצל את הפגיעות ב-7 במאי 2026. Check Point פרסמה תיקון רק ב-8 ביוני 2026 — חודש שלם לאחר מכן. כל הארגונים שנפגעו בתקופה הזו חוו ניצול של Zero-Day אמיתי: פגיעות שעבורה לא הייתה עדיין תשובה רשמית. זוהי אחת ממתקפות הכופרה המתועדות עם חלון ניצול ארוך מהרגיל.
מה לעשות עכשיו?
אם הארגון שלכם משתמש ב-Check Point Remote Access VPN, Mobile Access או Spark Firewalls — אלה הצעדים הנדרשים לאלתר:
- החילו את ה-Hotfixes של Check Point מיידית — שוחררו ב-8 ביוני 2026. עיינו ב-Advisory הרשמי של Check Point לגרסאות המתאימות למוצרים שלכם.
- השביתו IKEv1 ותמיכה בלקוחות legacy — אם אין לכם מכשירים שבאמת זקוקים ל-IKEv1, אין שום סיבה שהאפשרות תישאר פעילה.
- אכפו IKEv2 בלבד — הגדירו את ה-Gateway לקבל חיבורי VPN רק בפרוטוקול המתקדם.
- הפעילו דרישת תעודת מכשיר לכל חיבורי VPN — Machine Certificate Authentication מבטיח שגם אם פרטי כניסה נגנבו, תוקף ממכשיר לא מוכר לא יוכל להתחבר.
- בדקו לוגי VPN לאחור מ-7 במאי 2026 — חפשו אימות מוצלח ממכשירים לא מוכרים, כתובות IP חריגות, חיבורים בשעות לא שגרתיות, ובמיוחד IKEv1 Sessions מגורמים שאינם ברשימת הלקוחות הידועים שלכם.
- CISA קבעה דד-ליין ל-11 ביוני — סוכנויות פדרליות בארה”ב היו מחויבות לתקן עד אז. הדד-ליין חלף — אבל כל ארגון, ממשלתי או עסקי, חייב לנהוג באותה דחיפות.
סיכום
CVE-2026-50751 היא תזכורת כואבת לאמת ידועה: פרוטוקולים מיושנים שנשמרים פעילים “לצורכי תאימות” הם וקטור תקיפה אמיתי — ומנוצל. IKEv1 היה ידוע כחלש עוד לפני עשורים, אבל הנוחות של “לא לשבור דברים שעובדים” השאירה אותו פעיל ברחבי העולם. שותף Qilin מצא את הנקודה הזו, ניצל אותה חודש שלם, ופגע בעשרות ארגונים לפני שתיקון היה זמין.
אם הארגון שלכם מפעיל Check Point VPN — אל תמתינו. עדכנו עכשיו, השביתו IKEv1, ובדקו את הלוגים לאחור.
מקורות: Help Net Security | SecurityWeek
תגובות