Vaše VPN vás zradila: jak se útočník dostane dovnitř bez hesla

Tento měsíc se odehrály dvě bezpečnostní události, které by měly zajímat každou firmu, včetně malého startupu s deseti lidmi.

1. Útočníci spojení s ransomware skupinou Qilin začali v květnu potichu napadat firemní VPN brány po celém světě. Nepotřebovali phishing ani ukradené heslo. Stačil jim speciálně upravený síťový paket.

2. 10. června 2026 se objevil veřejný návod, jak útok zopakovat na jiném typu zařízení. Do druhého dne už byly první firmy kompromitované.

Pokud používáte Check Point nebo Ivanti pro VPN nebo mobilní přístup, čtěte dál. A pokud nevíte, co používáte, je to samo o sobě důležitý signál a i k tomu se dostaneme.

Co se vlastně stalo

Představte si VPN gateway jako recepci v kancelářské budově. Je schválně vystavená do internetu, aby se zaměstnanci mohli připojit z domova. Recepční má kontrolovat průkazy a pustit dovnitř jen oprávněné lidi.

Check Point VPN (CVE-2026-50751)

Check Point je mezi menšími firmami a MSP velmi rozšířený. Problém se týkal starého protokolu IKEv1, který Check Point stále podporuje kvůli kompatibilitě se staršími klienty.

Útočník mohl poslat speciálně upravený paket, kterým zařízení přesvědčil, že je už ověřený uživatel. Bez hesla. Bez certifikátu. Bez MFA. Výsledkem bylo, že firewall otevřel dveře a útočník se ocitl ve vaší síti jako běžný VPN uživatel.

Důležitý detail: útoky probíhaly už od 7. května, ale zranitelnost byla veřejně zveřejněna až 8. června. Měsíc měli náskok jen útočníci.

Ivanti Sentry (CVE-2026-10520)

Ivanti Sentry je zařízení, které často stojí mezi mobilními telefony zaměstnanců a firemním Exchange serverem. Řídí přístup k e-mailu z mobilů.

Problém byl tentokrát ještě jednodušší: existoval veřejně dostupný API endpoint bez ověření. Útočník mohl poslat HTTP požadavek s příkazem a zařízení ho spustilo jako root, tedy s nejvyššími právy. Žádné lámání hesel. Žádný složitý exploit. Jeden HTTP request a útočník má plnou kontrolu nad zařízením.

Veřejný návod se objevil 10. června a už následující ráno hlásila organizace Shadowserver Foundation první kompromitovaná zařízení.

Proč je to problém hlavně pro menší firmy

Velké firmy mají bezpečnostní týmy, segmentovanou síť a nástroje typu EDR. Útočník se sice může dostat dovnitř, ale obvykle ještě musí překonat další vrstvy obrany.

V menších firmách to často vypadá jinak:

• VPN uživatel po přihlášení vidí skoro celou síť.

• Logy nikdo aktivně nesleduje.

• VPN gateway má přístup ke všemu: fileserverům, účetnictví, e-mailu i vývojovým serverům.

U Ivanti Sentry je situace ještě horší: zařízení vidí dešifrovaný e-mailový provoz. Útočník tak nemusí číst jen poštu. Může získat session tokeny a přihlásit se jako vaši zaměstnanci bez znalosti jejich hesla.

A ještě jedna nepříjemná statistika: Podle Unit 42 dosáhla nejrychlejší čtvrtina vyšetřovaných incidentů v roce 2025 exfiltrace dat už za 72 minut od prvotní kompromitace. Kdo u vás ve tři ráno sleduje VPN logy?

Jak zjistit, jestli se vás to týká

Používáte Check Point?

V SmartConsole zkontrolujte VPN → Remote Access a hledejte:

• povolené IKEv1,

• nebo legacy Remote Access clients.

Pokud je některá z těchto možností zapnutá, jste potenciálně zranitelní.

Zranitelné verze:

• R82.10 (Jumbo Hotfix Take 19 a nižší),

• R82 (Take 103 a nižší),

• R81.20 (Take 141 a nižší).

Starší verze R81.10, R81 a R80.40 jsou End of Life a patch pro ně neexistuje. Je potřeba buď vypnout IKEv1, nebo zařízení upgradovat.

Používáte Ivanti Sentry?

Na serveru spusťte:

curl -k -X POST https://ADRESA-VASEHO-SENTRY/mics/api/v2/sentry/mics-config/handleMessage

curl -k -X POST https://ADRESA-VASEHO-SENTRY/mics/api/v2/sentry/mics-config/handleMessage

curl -k -X POST https://ADRESA-VASEHO-SENTRY/mics/api/v2/sentry/mics-config/handleMessage

Pokud odpověď není 401 nebo 403, endpoint je dostupný bez autentizace a zařízení je zranitelné.

Zranitelné jsou verze 10.5.1, 10.6.1, 10.7.0 a starší.

Nevíte, co používáte?

Zeptejte se svého IT dodavatele nebo MSP:

1. Provozujeme někde Check Point nebo Ivanti?

2. Jaké přesně verze běží?

3. Kdy byl naposledy aplikovaný bezpečnostní patch?

Pokud odpověď nedostanete během pár minut, je to samo o sobě problém.

Co udělat jako první

Check Point

V SmartConsole zakažte IKEv1 a legacy Remote Access clients bez machine certifikátu. Moderní VPN klienti tím obvykle nepřestanou fungovat, jen zavřete dveře starému způsobu připojení.

Ivanti Sentry

Na firewallu nebo WAF zablokujte přístup z internetu na: /mics/api. Tento endpoint nemá být veřejně dostupný. Blokace trvá pár minut a okamžitě odstraní hlavní útočnou plochu.

Co udělat dál

Check Point

Nainstalujte hotfix z advisory SK185033 pro vaši verzi systému.

Ivanti Sentry

Upgradujte alespoň na jednu z těchto verzí:

• R10.5.2

• R10.6.2

• R10.7.1

Předpokládejte kompromitaci

Tohle je nejméně příjemná část. Pokud bylo zařízení vystavené do internetu a nepatchované po 7. červnu 2026, nepředpokládejte, že jste v pořádku. Předpokládejte kompromitaci a hledejte důkaz o opaku.

Co konkrétně zkontrolovat

1. VPN logy od 7. května 2026

   Nehledejte až od data zveřejnění CVE. Útoky začaly o měsíc dřív.

   Zajímají vás:

   • úspěšná IKEv1 přihlášení z neznámých IP adres,

   • přístupy z VPS providerů (např. Vultr, Shock Hosting, Kaupo Cloud HK),

   • přihlášení v neobvyklých časech.

     
     

2. Ivanti Sentry – administrátorské účty

   Hledejte účty vytvořené po 7. květnu 2026. Součástí advisory byla i další zranitelnost (CVE-2026-10523), která umožňovala vytvořit administrátorský účet bez hesla.

   
   

3. Rotace hesel a certifikátů

   Pokud máte podezření na kompromitaci, zvažte změnu:

   • VPN účtů,

   • admin hesel,

   • certifikátů používaných VPN a MDM infrastrukturou.

Co opravit dlouhodobě

Tyto incidenty ukázaly hlavně jeden problém: bezpečnostní zařízení byla zbytečně vystavená internetu nebo běžela se starými funkcemi, které už nikdo nepotřebuje.

1. Management rozhraní mimo internet

Admin rozhraní firewallů, VPN a MDM zařízení by měla být dostupná jen z interní management sítě nebo přes vyhrazený bastion/VPN. Pravidlo je jednoduché: Co nemusí být vidět z internetu, nemá být vidět z internetu.

2. Omezte odchozí komunikaci zařízení

VPN gateway ani mobilní gateway obvykle nepotřebují komunikovat s náhodnými IP adresami po internetu.

Nastavte:

• default-deny outbound pro tato zařízení,

• allowlist jen pro aktualizační servery výrobce.

Tím výrazně ztížíte situaci útočníkovi, který po kompromitaci potřebuje stáhnout další malware.

3. Segmentujte VPN přístup

VPN uživatel by neměl automaticky vidět celou firemní síť. Každá role má mít přístup jen k tomu, co skutečně potřebuje.

Příklad:

• účetní oddělení → účetní systém a sdílené dokumenty,

• vývojáři → Git, CI/CD a vývojové servery,

• externí dodavatel → jen konkrétní aplikace nebo server.

Tohle není práce na jedno odpoledne, ale výrazně to omezuje dopad budoucího incidentu.

Závěr: nejde o sofistikované hackery

Na obou útocích je nejdůležitější jedna věc: nešlo o „filmový hacking“.

• Check Point zneužil 30 let starý protokol IKEv1, který zůstal zapnutý kvůli kompatibilitě.

• Ivanti měl veřejně dostupné API bez autentizace, které nikdo neschoval za firewall.

Útočníci často nehledají nové a exotické chyby. Hledají staré, zapomenuté nebo zbytečně otevřené věci.

„Funguje to, tak na to nesaháme“ je v bezpečnosti často nejdražší věta ve firmě.