ماذا حدث
أصدر باحثو مختبر WatchTowr Labs تحليلاً تقنياً مفصّلاً وأداةً يطلقون عليها «Detection Artefact Generator» للثغرة المعرَّفة بـ CVE-2026-50751، وهي ثغرة تجاوز المصادقة (Authentication Bypass) في منتجَي Check Point Remote Access VPN وMobile Access. وقد أكّدت الشركة المصنّعة أن الثغرة جرى استغلالها في بيئات حقيقية قبل أن تُطرح أي رقعة تصحيحية، وأن مئات من المنظمات كانت في مرمى المهاجمين.
التفاصيل
رصدت Check Point أولى عمليات الاستغلال الفعلي في مطلع مايو 2026، وأصدرت رقعة تصحيحية بتاريخ 8 يونيو 2026. وبحسب الشركة، استُهدفت عشرات المنظمات قبل الإصلاح، وارتبط حادث واحد على الأقل بتابع لعصابة برمجية الفدية (Ransomware) المعروفة بـ Qilin.
وصف باحث WatchTowr Labs ماكولاي هدسون آلية الثغرة بدقة: تسمح الشيفرة المعيبة لعميل متصل بالتلاعب في أعلام المصادقة (Authentication Flags) عبر حمولة Vendor ID مخصّصة أثناء تفاوض بروتوكول IKEv1 في مرحلته الأولى، وهو ما يفضي إلى تجاوز كامل لمنظومة التحقق من الهوية.
ونشر هدسون إثبات مفهوم (PoC) على شكل عميل IKEv1 يُكمل تفاوض المرحلة الأولى بتوقيع عشوائي، مما يتيح لمهاجم غير موثّق ومن بُعد انتحال هوية مستخدم Remote Access مُسجَّل دون امتلاك شهادة رقمية أو مفتاح خاص أو كلمة مرور.
**شروط الاستغلال الثلاثة:**
- تفعيل بوّابة Check Point Security Gateway مع شفرتَي (Blade) Remote Access VPN وMobile Access.
- تهيئة البوّابة للعمل عبر مسار IKEv1 القديم (Legacy) مع السماح باتصالات عملاء Remote Access القديمة.
- عدم اشتراط البوّابة على شهادة جهاز (Machine Certificate) لإنشاء الاتصال.
وأوضح الباحث أن التجاوز يعمل ضد أساليب مصادقة المستخدم: Certificate وCertificate with Enrollment والمختلط (Mixed)، غير أن أسلوب اسم المستخدم وكلمة المرور التقليدي (Legacy username/password) يبقى بمنأى عن الخطر. وأضاف أن الاستغلال يعمل أيضاً عبر المنفذ TCP 443 حين يكون وصول UDP محجوباً أو مُصفَّى.
في السياق ذاته، نبّهت Check Point إلى ثغرة ثانية مصاحبة هي CVE-2026-50752 المتعلقة بالتحقق من صحة الشهادات، وطالبت بتطبيق الرقعة التصحيحية لكليهما.
لماذا يهمّك
مع نشر إثبات المفهوم علناً، لم يعد الاستغلال حكراً على جهات تهديد متطورة؛ بل بات في متناول أي مهاجم انتهازي. والنافذة الزمنية التي سبقت الكشف العلني أثبتت كفاءتها في استهداف مؤسسات حقيقية، ومن المتوقع أن يتصاعد النشاط الهجومي بصورة ملحوظة في المرحلة القادمة. كما أن ارتباط الاستغلال ببرمجيات الفدية يرفع مستوى الخطورة على المنظمات التي تعتمد هذه المنتجات.
توصيات
- **التحديث الفوري:** تطبيق الرقعات التصحيحية لـ CVE-2026-50751 وCVE-2026-50752 على جميع بوّابات Check Point Security Gateway ومنتجات Spark Firewall المتأثرة دون تأخير.
- **التقليل من سطح الهجوم:** في حال تعذُّر التحديث الفوري أو على الإصدارات غير المدعومة، يُنصح بتعطيل دعم IKEv1 القديم واتصالات عملاء Remote Access القديمة.
- **إلزامية شهادة الجهاز:** تفعيل اشتراط شهادة الجهاز (Machine Certificate) لإنشاء الاتصالات كطبقة حماية إضافية.
- **فحص مؤشرات الاختراق:** الاستعانة بمؤشرات الاختراق (IoCs) التي نشرتها Check Point للتحقق من احتمالية استهداف البوّابات المحلية في الهجمات السابقة.
