Kyberturvallisuuskeskus varoittaa Check Pointin VPN-aukosta — hyökkääjät pääsevät sisään ilman tunnuksia
Aukko on jo aktiivisesti hyödynnetty ja kytketty Qilin-kiristyshaittaohjelmaan. Siksi pelkkä päivitys ei riitä — Kyberturvallisuuskeskus vaatii myös tietomurron tutkintaa.
Tiivistelma
Check Pointin VPN-tuotteista löytyi kriittinen tunnistautumisen ohitus (CVE-2026-50751, CVSS 9.3), jota hyökkääjät ovat hyödyntäneet nollapäivänä toukokuusta lähtien. Kyberturvallisuuskeskus kehottaa päivittämään heti ja poistamaan vanhentuneen IKEv1-protokollan käytöstä. Tavalliselle etätyöntekijälle uhka on välillinen mutta todellinen — työnantajan VPN voi olla kiristyshaittaohjelman sisäänkäynti.
Hyökkääjät eivät tällä kertaa murra salasanaa. He kävelevät VPN:n läpi ilman tunnuksia.
Check Pointin VPN-tuotteista löytyi kriittinen tunnistautumisen ohitus, joka on jo aktiivisen hyökkäyksen kohteena. Aukko on saanut tunnisteen CVE-2026-50751 ja vakavuusluokituksen 9,3 kymmenestä. Kyberturvallisuuskeskus nosti asian haavoittuvuus-raiteelleen 9. kesäkuuta.
Vika piilee siinä, miten laite tarkistaa varmenteen. Logiikkavirhe sallii tunnistautumattoman hyökkääjän muodostaa VPN-istunnon ilman kelvollisia tunnuksia. Ehtona on, että käytössä on vanhentunut IKEv1-protokolla eikä laitevarmenteita vaadita.
Tutkinnassa löytyi myös toinen, liittyvä aukko (CVE-2026-50752), joka koskee site-to-site-yhteyksien varmennetarkistusta. Sitä ei toistaiseksi ole hyödynnetty hyökkäyksissä.
Kuka on vaarassa
Haavoittuvuus koskee Remote Access VPN- ja Mobile Access -tuotteita sekä Spark-palomuureja. Alttiita ovat Security Gateway R82.10 (Jumbo Hotfix 19 tai vanhempi), R82, R81.20 sekä jo tukensa menettäneet haarat R81.10, R81 ja R80.40. Korjaukset löytyvät Check Pointin artikkeleista sk185033 ja sk185035.
Yhteinen nimittäjä on IKEv1. Protokolla on vuosia sitten korvattu uudemmalla IKEv2:lla, mutta sitä pidetään monessa ympäristössä yhä päällä vanhojen yhteyksien vuoksi. Juuri tuo vanha protokolla avaa nyt oven.
Hyödyntäminen ei ole teoriaa. Ensimmäiset havainnot ovat 7. toukokuuta 2026, ja kesäkuun alussa havainnot nousivat jyrkästi. Check Pointin tietojen mukaan kohdennettuja organisaatioita on maailmanlaajuisesti tähän mennessä muutamia kymmeniä.
Yksi yksityiskohta nostaa panoksia. Check Point kytkee ainakin yhden tietomurron Qilin-kiristyshaittaohjelman kumppaniin.
Miksi tämä koskettaa myös tavallista lukijaa? Jos teet etätyötä, työnantajasi VPN voi olla juuri se ovi, jonka kautta kiristyshaittaohjelma pääsee yrityksen verkkoon.
Nollapäivä (zero-day)
Nollapäivä tarkoittaa aukkoa, jota hyökkääjät käyttävät jo ennen kuin valmistaja ehtii julkaista korjauksen. Puolustajilla on ollut nolla päivää aikaa reagoida. Siksi tällaiset tapaukset vaativat nopeaa toimintaa heti, kun korjaus tulee saataville.
Mitä Kyberturvallisuuskeskus sanoo
Ohjeistus on varsin suora. Pelkkä päivitys ei riitä, koska laite on voinut olla murrettuna jo viikkoja.
– Päivitä välittömästi haavoittuvat Security Gatewayt ja Spark-palomuurit uusimpaan korjattuun versioon, Kyberturvallisuuskeskus sanoo.
– Poista vanhentunut IKEv1-protokolla käytöstä ja siirry käyttämään turvallisempaa IKEv2-protokollaa.
Nimettyjä suomalaisuhreja ei ainakaan vielä ole. Check Pointin VPN-laitteet ovat kuitenkin hyvin yleisiä suomalaisissa yritys- ja julkishallinnon ympäristöissä, joten kotimainen altistuminen on todennäköistä.
Mitä tehdä
Jos vastaat yrityksen VPN:stä tai tietoturvasta, toimi heti. Asenna korjaukset sk185033 ja sk185035 viipymättä. Jos päivitystä joutuu odottamaan, poista IKEv1 käytöstä ja vaadi väliaikaisratkaisuna IKEv2 sekä laitevarmenteet.
Tärkein osa jää helposti huomaamatta. Käy lokit ja konfiguraatio läpi forensisesti aina 7. toukokuuta asti ja selvitä, onko laitteelle jo päästy. Päivitys sulkee oven, mutta ei kerro, kävikö joku jo sisällä.
Jos teet etätyötä etkä vastaa tekniikasta, ota työnantajan VPN-päivityskehotukset vakavasti. Ilmoita IT-tukeen, jos huomaat etäyhteydessä jotain poikkeavaa.
Tietomurrosta voi ilmoittaa Kyberturvallisuuskeskukselle osoitteessa ilmoita.kyberturvallisuuskeskus.fi. Keskus ottaa vastaan myös organisaatioiden ilmoituksia.
Kuinka moni suomalaisorganisaatio ehti tarkistaa lokinsa ennen kuin Qilinin kumppanit ehtivät pidemmälle? Se jää nähtäväksi.