Ризики безпеки VPN: сліпі зони, які використовують зловмисники

Саме це фактично сталося у випадку з CVE-2026-50751. Помилка в процесі перевірки VPN-сертифікатів у рішеннях Check Point дозволяла зловмисникам встановлювати довірені VPN-сеанси без дійсних облікових даних. Наслідки не обмежувалися лише доступом до мережі. Атакувальники сприймалися системою як легітимні користувачі. Будь-які системи, до яких вони підключалися, не мали підстав відрізняти їх від авторизованих віддалених користувачів.
Багато організацій розглядають успішний вхід через VPN як межу довіри. Щойно користувач успішно підключається, він отримує доступ до систем, застосунків і мережевих маршрутів, які ніколи не призначалися для недовірених користувачів. Логіка проста: якщо VPN-сеанс активний, значить автентифікація пройшла успішно.
CVE-2026-50751 демонструє, наскільки небезпечним може бути таке припущення. Коли механізми автентифікації дають збій, зловмисники отримують не просто доступ до мережі. Вони успадковують той рівень довіри, який надається будь-кому, хто вже знаходиться всередині корпоративного периметра.

У міру того як робочі процеси ставали дедалі мобільнішими та віддаленішими, традиційний VPN почав демонструвати свою фундаментальну слабкість. Його було створено в епоху, коли мережевий периметр мав чіткі межі та справді виконував роль кордону безпеки.
Часи змінилися, і ця епоха залишилася в минулому.
Після підключення до VPN користувачі можуть отримувати доступ до будь-яких ресурсів, на використання яких вони мають права, без необхідності проходити через додаткові рівні перевірок безпеки. У момент, коли зловмисник отримує дійсні VPN-облікові дані або компрометує пристрій, він фактично стає невидимим і може вільно переміщатися всередині середовища.
Хоча VPN створювався для розмежування внутрішньої та зовнішньої мережі, він ніколи не був призначений для перевірки, чи має конкретне підключення право доступу до певних ресурсів у конкретний момент часу.

Модель «всередині/зовні», на якій побудовані VPN-рішення, базується на простому припущенні: користувачі за межами мережі є недовіреними, а користувачі всередині — довіреними. Успішно встановлений VPN-сеанс стає підтвердженням цієї довіри. Після підключення користувач отримує доступ до систем, застосунків і мережевих маршрутів, виходячи з неявного припущення, що автентифікація пройшла успішно, а підключення є легітимним.

Проблема полягає в тому, що багато залежних систем ніколи не перевіряють це припущення повторно. Вони бачать дійсний VPN-сеанс і вважають цього достатнім. Рішення щодо доступу приймаються на основі розташування в мережі, а не безперервної перевірки того, хто насправді знаходиться на іншому кінці з’єднання.

Саме ця модель довіри робить VPN-інфраструктуру привабливою ціллю для атакувальників. Отримавши довірений VPN-сеанс, зловмисник часто успадковує доступ, видимість і можливості для горизонтального переміщення мережею, які за інших умов були б недоступними ззовні.

Компрометація SSL VPN-шлюзів надає атакувальникам надійну точку входу з привілеями довіреного внутрішнього користувача, широкою видимістю та вже наданими правами доступу. Після компрометації VPN межа мережевого периметра фактично зникає, оскільки зловмисники з відповідними обліковими даними можуть входити до середовища як авторизовані віддалені користувачі.
Останні інциденти демонструють, наскільки швидко може розвиватися така атака.
У червні 2026 року CVE-2026-50751 дозволила афілійованим учасникам угруповання Qilin використовувати помилку в логіці перевірки сертифікатів і встановлювати довірені VPN-сеанси на шлюзах Check Point без дійсних облікових даних.
Експлуатацію вразливості зафіксували ще 7 травня — більш ніж за місяць до випуску патча компанією Check Point. Уже наступного дня після публікації інформації, 9 червня, CISA додала вразливість до свого каталогу Known Exploited Vulnerabilities. До моменту сповіщення організацій зловмисники вже використовували отриманий доступ для внутрішньої розвідки, викрадення облікових даних та підготовки до розгортання програм-вимагачів.
У жовтні 2025 року хмарна інфраструктура резервного копіювання SonicWall зазнала витоку зашифрованих облікових даних і конфігураційних даних, що створило ризики масової компрометації клієнтів. Одночасно кіберзлочинці використовували міжмережеві екрани Fortinet та FortiGate як початкові точки доступу.
Оператори програм-вимагачів, зокрема Akira, цілеспрямовано використовували такі SSL VPN-з’єднання для масштабного розгортання атак.
Отримавши доступ через скомпрометовані VPN-облікові дані, зловмисники швидко проводили внутрішню розвідку, викрадали додаткові облікові дані, підвищували привілеї та просувалися до контролерів домену.
Спільною рисою більшості таких інцидентів було зловживання довіреною інфраструктурою віддаленого доступу для обходу традиційних механізмів безпеки.
Атакувальники можуть використовувати невиправлені вразливості, слабкі конфігурації або відкриті хмарні резервні копії. Часто вони обходять механізми автентифікації або використовують легітимні облікові записи для забезпечення довготривалого доступу.
Отримавши таку довірену точку опори, вони підвищують привілеї, відключають журналювання подій безпеки та змінюють налаштування міжмережевих екранів і VPN. Після досягнення контролю на рівні домену розгортання програм-вимагачів стає значно простішим.

Сегментація мережі може зменшити масштаб наслідків компрометації VPN, обмежуючи доступ між внутрішніми системами. Проте впровадження сегментації є складним завданням, а її ефективність проти скомпрометованих VPN-облікових даних залишається обмеженою.

Розширене журналювання та моніторинг поведінки користувачів допомагають виявляти підозрілу активність, але зазвичай спрацьовують уже після компрометації. Зловживання VPN-доступом часто виглядає як звичайна активність легітимного користувача. Навіть організації з багаторівневими механізмами захисту мають дуже обмежений час для реагування.

Багатофакторна автентифікація (MFA) забезпечує суттєвий рівень захисту, але не є абсолютною гарантією безпеки. Якщо зловмисник отримує контроль над самим VPN-шлюзом, він може обійти MFA або зареєструвати власні фактори автентифікації після компрометації. Перебуваючи всередині мережі, атакувальник також може змінювати процеси автентифікації або створювати додаткові облікові записи зі своїми MFA-факторами.

Своєчасне встановлення патчів зменшує ризики відомих вразливостей, однак атаки через вразливості нульового дня відбуваються ще до появи оновлень. Крім того, затримки в оновленні систем або пропущені патчі часто залишають організації відкритими для атак.

Інцидент із SonicWall показав, що компрометація може статися навіть без експлуатації вразливостей. У цьому випадку причиною витоку облікових даних стали помилки в операційних процесах і неналежне управління хмарними резервними копіями.

Ситуацію ускладнює ще одна пов’язана проблема. Традиційні механізми контролю мережевого доступу покладаються на списки дозволених IP-адрес і правила міжмережевих екранів, створені на основі припущень, які вже не відповідають сучасним моделям роботи.

Адміністратори створювали ці правила, виходячи з того, що пристрої залишатимуться в межах довірених мережевих діапазонів, а IP-адреси змінюватимуться рідко. Такий підхід не враховує віддалені та гібридні формати роботи.

Насправді сьогодні співробітник може підключатися до корпоративної мережі з домашнього Wi-Fi, завтра — з мережі готелю, а післязавтра — через мобільну точку доступу.

З часом правила накопичуються. Тимчасовий доступ залишається активним значно довше, ніж потрібно. Щоб зменшити адміністративне навантаження, адміністратори розширюють правила доступу, охоплюючи цілі діапазони інтернет-провайдерів (ISP). У результаті списки дозволених адрес стають надто великими, а обмеження доступу поступово послаблюються.

Згодом адміністратори втрачають впевненість, що набір правил усе ще виконує своє початкове призначення.

У такому середовищі з надмірними правами доступу скомпрометований VPN-пристрій або VPN-сеанс може завдати серйозної шкоди організації.

Доступ через VPN базується на припущенні, що користувачеві можна довіряти, щойно він опинився всередині мережі.
Але це не так.
ThreatLocker усуває залежність від мережевого розташування та замінює її контрольованим доступом на основі політик безпеки на кожному рівні:
● Zero Trust Network Access (ZTNA) — надає доступ лише до конкретних застосунків або систем, а не до всієї мережі.● Zero Trust Cloud Access — забезпечує доступ до хмарних сервісів і SaaS-платформ лише для перевірених пристроїв, тому самих облікових даних недостатньо для компрометації середовища.● Zero Trust Endpoint Firewall — застосовує мережеві правила на основі ідентичності пристрою та контексту, а не статичних IP-адрес.● Allowlisting — блокує запуск неавторизованих інструментів навіть на вже скомпрометованих пристроях.● Ringfencing™ — обмежує взаємодію легітимних застосунків лише з дозволеними ресурсами, мінімізуючи можливості зловживання.● Privileged Access Management — запобігає несанкціонованому підвищенню привілеїв та контролює виконання адміністративних дій. Доступ залишається прив’язаним до пристрою, безперервно перевіряється та обмежується лише необхідними ресурсами. Саме так працює модель Zero Trust на практиці.
Детальніше про побудову безпечної мережі можна дізнатися у випуску №4 журналу Cyber Hero Frontline від ThreatLocker.