WadesWeaponShed/CVE-2026-50751-Mitigation-Scripts

# CVE-2026-50751-缓解脚本 您可以从以下 SK（知识库文章）中使用多种缓解技术；https://support.checkpoint.com/results/sk/sk185033 1. 禁用传统客户端支持。 2. 将 Remote Access 配置为仅使用 ike v2 以下是对应这两种更改的脚本； __请阅读 https://support.checkpoint.com/results/sk/sk166415 以了解受支持的 ikev2 客户端__ ## SMS 如果您想执行操作 1 并禁用传统客户端，请下载 disable_legacy_clients.SMS.sh 并在您的管理器命令行中运行它。请务必执行 chmod +x disable_legacy_clients.SMS.sh 使其可执行。 请注意，此操作使用 GENERIC OBJECTS，且风险与 DBEDIT 相同 如果您只想切换到 ike v2，您可以运行以下简单的单行命令来完成； mgmt_cli -r true set global-properties remote-access.vpn-authentication-and-encryption.encryption-method “ike_v2_only" ## MDS 此脚本专为 Check Point Multi-Domain Security Management 环境设计。它会遍历 MDS 服务器上配置的每个 Domain，并像上面的 SMS 一样更新传统客户端或 ike v2 的更改。 ## 目的 同样，这里有两个脚本； 1. disable_legacy_clients_MDS.sh 将禁用您 MDS 中每个 Domain 上每个网关对象的传统客户端复选框。它会一次性遍历所有对象，因此可能需要一些时间。再次提醒……请注意，此操作使用 GENERIC OBJECTS，且风险与 DBEDIT 相同 2. switch_ikev2_mds.sh 该脚本会在每个 Domain 中应用以下 Management API 更改： mgmt_cli -r true set global-properties remote-access.vpn-authentication-and-encryption.encryption-method "ike_v2_only" ## 要求 在 MDS 管理服务器上运行 已启用 Check Point Management API Shell 中必须可以使用 mgmt_cli 脚本应由熟悉 MDS 环境的管理员运行 请确保使用 "chmod +x *script_name.sh*" 使脚本可执行。 使用 ./*script_name.sh*.sh 执行 ## 重要提示 此脚本使用 -r true 自动发布更改。 受影响的网关仍需要进行策略安装才能使更改生效。 在生产环境中运行之前，请在实验室或维护窗口期进行测试。 __请阅读 https://support.checkpoint.com/results/sk/sk166415 以了解受支持的 ikev2 客户端__ 在全面应用更改之前，请检查 Domain 列表。 每个 Domain 使用的示例命令 mgmt_cli -r true -d "" set global-properties remote-access.vpn-authentication-and-encryption.encryption-method "ike_v2_only" 更改后验证 您可以使用以下命令在 Domain 中验证该值： mgmt_cli -r true -d "" show global-properties details-level full --format json | jq '.["remote-access"]["vpn-authentication-and-encryption"]["encryption-method"]' 预期结果： "ike_v2_only" # 免责声明 使用风险自负。在生产环境中运行之前，请务必根据您特定的 Check Point 版本和 Management API schema 验证命令语法。

标签：Check Point, Cutter, PB级数据处理, Shell脚本, VPN配置, 安全运维, 漏洞缓解, 网络防火墙