حذرت شركة “تشيك بوينت” الإسرائيلية من استغلال نشط لنقطة ضعف أمنية حرجة تؤثر على أنظمة الوصول عن بعد عبر الشبكة الافتراضية الخاصة (VPN) والوصول عبر الأجهزة المحمولة، خاصة تلك التي تستخدم بروتوكول IKEv1 الذي تم إيقافه. تسمح هذه الثغرة، المسجلة بالرمز CVE-2026-50751، للمهاجمين غير المصرح لهم بتجاوز المصادقة وإنشاء اتصالات VPN دون الحاجة لكلمة مرور صالحة.
تتعلق هذه الثغرة الأمنية، التي تم تصنيفها بدرجة 9.3 على مقياس CVSS، بخلل منطقي في التحقق من الشهادات. يمكن لمهاجم خارجي بعيد، دون الحاجة إلى امتلاك كلمة مرور المستخدم، إنشاء جلسة VPN. يتطلب الوصول إلى الموارد الداخلية أو رفع الامتيازات بعد ذلك نشاطًا إضافيًا ما بعد المصادقة. ويأتي هذا التحذير في وقت تتزايد فيه التهديدات السيبرانية عالمياً، مما يستدعي يقظة أكبر من قبل المؤسسات لحماية شبكاتها.
التأثير على الأنظمة ومعايير الاستغلال
“تشيك بوينت” أوضحت أن هذه الثغرة تؤثر على منتجات وإصدارات معينة من بوابات الأمان (Security Gateways) وجدران الحماية (Firewalls) من “سبارك”. تتضمن الإصدارات المتأثرة بها R82.10 Jumbo Hotfix، و R82 Jumbo Hotfix، و R81.20 Jumbo Hotfix، بالإضافة إلى بوابات Spark Firewalls التي تعمل بالإصدارات R80.20.X (المنتهية الخدمة)، و R81.10.X، و R82.00.X.
يتطلب استغلال هذه الثغرة استيفاء عدة شروط أساسية، وفقاً للتقرير. يجب أن يكون الوصول عن بعد عبر VPN أو الوصول عبر الأجهزة المحمولة مفعلين، وأن يدعم النظام بروتوكول IKEv1 للوصول عن بعد. بالإضافة إلى ذلك، يجب أن تقبل البوابات العملاء القدامى للوصول عن بعد، وألا تفرض شهادة جهاز للاتصالات.
رصد الاستغلال النشط وارتباطه بأنشطة إجرامية
رصدت شركة “تشيك بوينت” لأول مرة مؤشرات على نشاط مشبوه في 4 يونيو 2026، مع أولى عمليات الاستغلال التي تعود إلى 7 مايو 2026. وتشير التقارير إلى أن جهود الاستغلال تكثفت بشكل ملحوظ خلال الشهر الحالي. وقد اقتصر النشاط الاستغلالي على “بضع عشرات من المؤسسات المستهدفة عالميًا”.
من جهة أخرى، كشف التقرير عن وجود ارتباط في إحدى الحالات بين مرحلة ما بعد الاستغلال وهذا النوع من الهجمات وبين جهة تابعة لمجموعة برامج الفدية “Qilin”. وتعتقد الشركة أن البنية التحتية لهذه الجهة الإجرامية تستغل ثغرات أخرى متعلقة بـ VPN.
تكتيكات المهاجمين وبنية تحتية متطورة
تتشارك بعض جوانب هذه الجهود مع تقرير سابق سلط الضوء على إساءة استخدام أجهزة VPN الخاصة بالشركات للوصول الأولي. وأشارت “تشيك بوينت” إلى المؤشرات التي تدل على أن الجهة المهاجمة قد تستخدم بروتوكول Tox للتواصل، وهو نمط غالبًا ما يرتبط بجهات الفدية ذات الدوافع المالية.
من ناحية أخرى، كشف فحص إضافي للمكونات المتأثرة عن ثغرة ثانية، تحمل الرمز CVE-2026-50752 (درجة 7.40 على مقياس CVSS). قد تسمح هذه الثغرة بهجوم الوسيط (Adversary-in-the-Middle) على اتصالات VPN بين المواقع (site-to-site). ومع ذلك، لا توجد أدلة حتى الآن على استغلال هذه الثغرة في هجمات واقعية.