Krytyczne zero-daye w urządzeniach brzegowych: Check Point VPN i Cisco SD-WAN (czerwiec 2026)

W ostatnich tygodniach atakujący wzięli na cel to, co stoi na pierwszej linii każdej firmowej sieci — urządzenia brzegowe. Dwie krytyczne luki typu zero-day w popularnych rozwiązaniach Check Point i Cisco są aktywnie wykorzystywane w atakach, a jedną z nich powiązano już z grupą ransomware. Wyjaśniamy, na czym polegają, kogo dotyczą i co zrobić, zanim staną się Twoim problemem.

Zero-day, czyli luka bez łatki

Podatność typu zero-day to błąd bezpieczeństwa wykorzystywany przez atakujących, zanim producent zdąży udostępnić poprawkę. Obrońcy mają „zero dni” na reakcję — stąd nazwa. Gdy taka luka dotyczy urządzenia wystawionego do internetu (VPN, firewall, panel zarządzania), jedno zapytanie sieciowe może wystarczyć, by napastnik znalazł się wewnątrz Twojej sieci.

Check Point VPN — obejście uwierzytelniania (CVE-2026-50751, CVSS 9,3)

Luka w bramach Check Point z włączonym przestarzałym protokołem IKEv1 pozwala na obejście uwierzytelniania: odpowiednio spreparowany pakiet podczas negocjacji VPN ustawia atakującemu uprawnienia tak, jakby zalogował się poprawnymi danymi — bez znajomości jakiegokolwiek hasła. Efekt: nieautoryzowana sesja VPN i przyczółek w sieci wewnętrznej.

• Status: aktywnie wykorzystywana w atakach co najmniej od 7 maja 2026 r., powiązana z afiliantem ransomware Qilin; dodana do katalogu CISA KEV.
• Łatka: dostępna — Check Point wydał hotfix 8 czerwca 2026 r.
• Doraźnie: wyłącz IKEv1 i wymuś IKEv2, jeśli nie możesz natychmiast wgrać poprawki.

Cisco Catalyst SD-WAN Manager — wykonanie kodu jako root (CVE-2026-20245)

W panelu zarządzania Cisco Catalyst SD-WAN (dawniej vManage) błąd walidacji danych pozwala uwierzytelnionemu użytkownikowi z uprawnieniami netadmin przesłać spreparowany plik i wykonać dowolne polecenia jako root. To już siódmy zero-day w SD-WAN Cisco w 2026 roku, a w części ataków napastnicy wypychali zmiany konfiguracji na urządzenia brzegowe.

• Status: wykorzystywana w ograniczonych, ukierunkowanych atakach; w katalogu CISA KEV (termin dla administracji USA: 23 czerwca 2026 r.).
• Łatka: w chwili ujawnienia brak poprawki i obejścia — Cisco zapowiada fix w przyszłej wersji. Ogranicz dostęp do panelu zarządzania i monitoruj logi.

Dlaczego urządzenia brzegowe to ulubiony cel?

Firewall, brama VPN czy kontroler SD-WAN to „frontowe drzwi” organizacji — są wystawione do internetu, mają wysokie uprawnienia i często bywają pomijane w cyklu aktualizacji. Dla atakującego to najkrótsza droga do środka: zamiast łamać kolejne warstwy zabezpieczeń, wystarczy jedna luka w urządzeniu na styku sieci.

Większość poważnych włamań nie zaczyna się od wyrafinowanego exploita w głębi sieci, lecz od jednego zapomnianego, niezałatanego urządzenia widocznego z internetu.

Co zrobić teraz — lista kontrolna

• Zinwentaryzuj urządzenia brzegowe (VPN, firewalle, panele zarządzania) i sprawdź wersje oprogramowania.
• Wgraj poprawki Check Point; tam, gdzie się nie da od ręki — wyłącz IKEv1.
• Ogranicz dostęp do paneli zarządzania wyłącznie do zaufanych adresów i sieci administracyjnych.
• Włącz uwierzytelnianie wieloskładnikowe (MFA) na VPN i kontach administracyjnych.
• Przejrzyj logi pod kątem nietypowych sesji VPN i nieautoryzowanych zmian konfiguracji.
• Sprawdź, co Twoja firma „pokazuje” w internecie — eksponowane panele i usługi to gotowa mapa dla napastnika.

Jak Octopus Lab pomaga zabezpieczyć styk sieci

Reagowanie na pojedyncze CVE to za mało — kluczowe jest systematyczne sprawdzanie, gdzie naprawdę jesteś narażony. W tym pomagamy:

• Audyt bezpieczeństwa IT — niezależny przegląd konfiguracji urządzeń brzegowych, zarządzania podatnościami i procesu aktualizacji, zakończony priorytetyzowanym planem naprawy. Zobacz też: pentest a audyt bezpieczeństwa — różnice.
• Testy penetracyjne — kontrolowany atak na Twoją infrastrukturę, w tym testy penetracyjne sieci, który potwierdza, które luki da się realnie wykorzystać — zanim zrobią to przestępcy.
• Biały wywiad (OSINT) — mapujemy powierzchnię ataku Twojej firmy z perspektywy napastnika: eksponowane bramy VPN, panele logowania, wyciekłe dane i konfiguracje widoczne w internecie. To często pierwszy krok prawdziwego włamania — i pierwszy, który warto zamknąć.

Działamy w Trójmieście (Gdańsk, Gdynia, Sopot) oraz zdalnie w całej Polsce. Umów bezpłatną konsultację i wycenę — sprawdzimy, czy Twoje urządzenia brzegowe są odporne na ataki tego typu.