Check Point informó una vulnerabilidad crítica que afecta implementaciones de Remote Access VPN y Mobile Access configuradas con el protocolo de intercambio de claves IKEv1, considerado obsoleto. La falla permite que un atacante remoto no autenticado omita la autenticación de usuario y establezca una conexión VPN de acceso remoto sin contar con una contraseña válida. Se reportó explotación activa desde junio de 2026, con indicios de actividad previa observada desde mayo de 2026
CVE y severidad
La vulnerabilidad corresponde a una debilidad de flujo lógico en la validación de certificados de Remote Access y Mobile Access cuando se utiliza el intercambio de claves IKEv1 con CVSS 9.3 de carácter crítico. Su explotación permite que un atacante remoto, sin autenticación previa, evada la autenticación de usuario y establezca una sesión VPN sin contraseña válida. La explotación requiere que Remote Access VPN o Mobile Access esté habilitado, que IKEv1 esté activo para acceso remoto, que el gateway acepte clientes heredados de acceso remoto y que no se exija certificado de máquina para las conexiones.
Productos afectados
Security Gateways R82.10 con Jumbo Hotfix Take 19 o inferior.
Security Gateways R82 con Jumbo Hotfix Take 103 o inferior.
Security Gateways R81.20 con Jumbo Hotfix Take 141 o inferior.
Security Gateways R81.10, R81 y R80.40, versiones en fin de soporte.
Spark Firewalls R80.20.X, R81.10.X y R82.00.X.
Solución
Aplicar inmediatamente el hotfix de seguridad publicado por Check Point para los Security Gateways, Mobile Access / SSL VPN, Remote Access VPN y Spark Firewalls afectados.
Actualizar los Security Gateways R82.10 por encima de Jumbo Hotfix Take 19, R82 por encima de Jumbo Hotfix Take 103 y R81.20 por encima de Jumbo Hotfix Take 141, conforme a las versiones corregidas publicadas por el fabricante.
Migrar las versiones en fin de soporte R81.10, R81 y R80.40 a versiones soportadas y aplicar los hotfixes correspondientes.
Actualizar los Spark Firewalls R80.20.X, R81.10.X y R82.00.X de acuerdo con las actualizaciones de seguridad disponibles del fabricante.
Eliminar el soporte para clientes heredados de Remote Access VPN cuando no sea estrictamente necesario.
Configurar Remote Access VPN Authentication para utilizar únicamente IKEv2 y deshabilitar IKEv1 en accesos remotos.
Configurar Machine Certificate Authentication como obligatorio para las conexiones VPN.
Habilitar IPS y descargar las firmas actualizadas recomendadas por Check Point.
Recomendaciones
Priorizar la instalación inmediata de la actualización para mitigar riesgos de explotación remota y escalación de privilegios; en entornos empresariales aplicar despliegue masivo usando herramientas de gestión y validar que todas las instancias hayan actualizado correctamente.
Referencias
- Critical Check Point VPN Flaw Exploited to Bypass Passwords in IKEv1 Setups – The hacker News
- Check Point links VPN zero-day attacks to Qilin ransomware gang – Bleeping Computer
- Security Advisory – Action Required – Active Exploitation of Check Point VPN Authentication Bypass (CVE-2026-50751) – Checkpoint
- CVE-2026-50751 – User Authentication bypass on VPN Remote Access and Mobile Access in deprecated IKEv1 key exchange – Checkpoint