hlkysipv/CVE-2026-50751-Check-Point-IKEv1-Authentication-Bypass

# CVE-2026-50751 — Check Point IKEv1 身份验证绕过

## ⚠️ 法律声明 **仅限用于授权的安全测试。** 请仅在本工具于您拥有的系统上，或在您拥有**明确书面授权**进行测试的系统上使用。未经授权的访问是违法行为。作者对任何滥用行为不承担任何责任。 ## 🔥 本工具的功能 | 模式 | 命令 | 用途 | |------|---------|---------| | **批量扫描** | `--scan -l targets.txt` | 探测数千个 IP 的 IKEv1 暴露情况 | | **深度扫描** | `--scan -l targets.txt` | 检测可能存在漏洞的网关 | | **快速扫描** | `--scan --shallow -l ips.txt` | 快速检查 IKEv1 是否存在 | | **漏洞利用** | `--exploit -t IP` | 完整的身份验证绕过 PoC | **无需 `pip install`** — 所有加密功能均已打包在本地 `cryptography/` 文件夹中。 ## 🎯 受影响的产品与版本 | 产品线 | 受影响版本 | |--------------|-------------------| | **Quantum Security Gateways** | R80.40 → R82.10 | | **R80.x Gateways** | R80.20, R80.30, R80.40 及所有维护版本 | | **R81.x Gateways** | R81.00, R81.10, R81.20 及所有维护版本 | | **R82.x Gateways** | R82.00, R82.10 及所有维护版本 | | **Spark Gateways** | R80.20.X, R81.10.X, R82.00.X | | **Mobile Access / Remote Access VPN** | 所有启用了 IKEv1 的版本 | | **CloudGuard Network** | 运行受影响代码的所有云端网关版本 | ### 暴露条件 - 启用了 Remote Access VPN 或 Mobile Access - 允许旧版 VPN 客户端使用 IKEv1 - 网关接受基于预共享密钥 / 证书的 IKEv1 握手 - 未强制要求必须使用机器证书 ### 不受影响的情况（配置正确时） - 完全禁用 IKEv1 的网关 - 仅使用 IKEv2 的 Remote Access 策略 - 强制要求必须进行机器证书身份验证 - 已应用 SK185033 热修复补丁的网关 ## 📦 安装 ``` # 无依赖 — 即可运行 python CVE-2026-50751.py --help ``` ## 🚀 用法 ### 单一目标 — 漏洞扫描 ``` python CVE-2026-50751.py --scan -t 192.168.1.1 -p 500 python CVE-2026-50751.py --scan -t vpn.example.com --ports 500,4500 -v ``` ### 单一目标 — 完整漏洞利用（仅限授权） ``` python CVE-2026-50751.py --exploit -t 192.168.1.1 -p 500 python CVE-2026-50751.py --exploit -t vpn.example.com --interface 10.0.0.5 -v ``` ### 批量扫描 — 大规模 IP 列表 创建目标文件 (`targets.txt`)： ``` # 每行一个 target — 忽略注释和空行 192.168.1.1 10.0.0.50:500 vpn.corp.example.com:4500 203.0.113.10 ``` 对列表执行并发扫描： ``` # 深度漏洞扫描（推荐） python CVE-2026-50751.py --scan -l targets.txt --threads 64 -o results.txt # 在大型列表上快速检测 IKEv1 python CVE-2026-50751.py --scan --shallow -l targets.txt --threads 128 --ports 500,4500 -o ike_open.txt # 详细的逐主机输出 python CVE-2026-50751.py --scan -l targets.txt -v --threads 32 ``` ### 扫描输出示例 ``` [VULNERABLE] 203.0.113.10:500 - IKEv1 accepts crafted KE/NONCE - likely vulnerable [IKE OPEN] 198.51.100.5:4500 - IKEv1 active (SPI a1b2c3d4e5f67890) [PATCHED] 192.0.2.1:500 - IKEv1 active, crafted KE/NONCE rejected [CLOSED] 192.0.2.99:500 - No IKE response ============================================================ SCAN SUMMARY VULNERABLE : 3 IKE OPEN : 12 PATCHED : 5 CLOSED : 980 ERROR : 0 ============================================================ ``` 结果文件格式 (`results.txt`)： ``` vulnerable 203.0.113.10 500 IKEv1 accepts crafted KE/NONCE - likely vulnerable ike_open 198.51.100.5 4500 IKEv1 active (SPI a1b2c3d4e5f67890) ``` ## 🛠️ CLI 参考 | 选项 | 描述 | |--------|-------------| | `-t, --target` | 单个 IP 或主机名 | | `-l, --list` | 目标列表文件（批量模式） | | `-p, --port` | 默认端口 (500) | | `--ports` | 多个端口：`500,4500` | | `--scan` | 检测 / 漏洞扫描 | | `--exploit` | 完整的身份验证绕过 PoC | | `--shallow` | 快速扫描 — 仅检测 IKE 响应 | | `--threads N` | 并发工作线程数（默认：32） | | `--timeout N` | UDP 超时秒数（默认：5） | | `-o, --output` | 将结果保存至文件 | | `-v, --verbose` | 详细输出 | | `--interface` | 绑定到特定源 IP | ## 🧬 技术摘要 | 字段 | 值 | |-------|-------| | **CVE** | CVE-2026-50751 | | **类型** | 身份验证绕过 (CWE-287) | | **CVSS** | 9.3 严重 | | **向量** | `AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:N` | | **协议** | IKEv1 (已弃用) | | **根本原因** | Remote Access 密钥交换中的证书验证逻辑缺陷 | | **影响** | 未经身份验证即可建立 VPN 会话 | | **CISA KEV** | 2026-06-08 收录 — 需在 2026-06-11 前完成修补 | ## 🛡️ 修复方案 ### 1. 应用 Check Point 热修复补丁（推荐） | 版本 | 热修复 Take 版本 | |---------|-------------| | R82.10 | Take 19+ | | R82 | Take 103+ | | R81.20 | Take 141+ | 参考：[SK185033](https://support.checkpoint.com/results/sk/sk185033) ### 2. 临时缓解措施 - 禁用旧版 VPN 客户端 (IKEv1) - 在 Remote Access 设置中强制要求**仅使用 IKEv2** - 强制要求**必须进行机器证书**身份验证 - 在不需要 VPN 的位置，阻止来自不受信任网络的 UDP/500 和 UDP/4500 流量 ## 📚 参考资料 - [NVD — CVE-2026-50751](https://nvd.nist.gov/vuln/detail/CVE-2026-50751) - [Check Point SK185033](https://support.checkpoint.com/results/sk/sk185033) - [CISA 已知被利用漏洞目录](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) ## ⚖️ 免责声明 本软件按“**原样**”提供，不附带任何保证。本软件仅供防御性安全研究、授权的渗透测试和补丁验证使用。

标签：CISA项目, Python, StruQ, VPN, 扫描器, 插件系统, 无后门, 身份验证绕过, 逆向工具