🔍 Contexte

Le 8 juin 2026, Check Point Research publie un avis de sécurité urgent sur son blog officiel concernant l’exploitation active de CVE-2026-50751, une vulnérabilité critique affectant ses solutions Remote Access VPN et Mobile Access configurées avec le protocole IKEv1 (déprécié).

🚨 Vulnérabilités identifiées

Deux CVE sont documentées dans cet avis :

  • CVE-2026-50751 (CVSS 9.3) : Bypass d’authentification exploitant une faille logique dans la validation des certificats IKEv1. Un attaquant peut établir une session VPN sans mot de passe valide. Exploitation active confirmée dans la nature.
  • CVE-2026-50752 (CVSS 7.4) : Condition dans la logique de validation des certificats IKEv1 permettant une attaque man-in-the-middle sur les connexions VPN site-à-site. Aucune exploitation observée à ce jour. Découverte via la plateforme interne BLAST (agentic AI code security).

Produits affectés : SSL VPN / Remote Access VPN, Mobile Access, Security Gateways, Spark Firewall

Versions affectées : R80.20.X (EOS), R80.40 (EOS), R81 (EOS), R81.10 (EOS), R81.10.X, R81.20, R82, R82.00.X, R82.10

📅 Chronologie de l’attaque

  • 7 mai 2026 : Date la plus ancienne d’exploitation observée
  • Début juin 2026 : Augmentation des tentatives d’exploitation
  • 4 juin 2026 : Lancement de l’investigation par Check Point Research suite à des activités suspectes
  • 8 juin 2026 : Publication de l’avis et disponibilité du hotfix

🎭 Profil de l’acteur menaçant

Check Point évalue avec confiance moyenne que l’acteur est financièrement motivé et utilise le ransomware Qilin. Caractéristiques observées :

  • Utilisation du protocole Tox pour les communications (pattern associé aux acteurs ransomware)
  • Infrastructure VPS dédiée hébergée chez Kaupo Cloud HK, Shock Hosting et Vultr Holdings
  • Corrélation géographique entre les victimes et la géolocalisation des VPS (ex : attaques ciblant Taïwan via infrastructure localisée à Taïwan)
  • Chevauchement avec des binaires Linux Qilin ransomware et téléchargement de fichiers ELF malveillants
  • Exploitation présumée d’autres vulnérabilités VPN (Palo Alto, Fortinet, F5)

Périmètre d’impact : Quelques dizaines d’organisations ciblées à l’échelle mondiale.

🔗 Références

📄 Nature de l’article

Il s’agit d’une alerte de sécurité officielle publiée par Check Point Research, combinant divulgation de vulnérabilités, analyse de menace et publication d’IOCs, destinée à informer les clients et la communauté CTI pour une réponse immédiate.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Qilin (cybercriminal) —

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1557 — Adversary-in-the-Middle (Credential Access)
  • T1486 — Data Encrypted for Impact (Impact)
  • T1588.004 — Obtain Capabilities: Digital Certificates (Resource Development)
  • T1583.003 — Acquire Infrastructure: Virtual Private Server (Resource Development)

IOC

Malware / Outils

  • Qilin (ransomware)

🟢 Indice de vérification factuelle : 95/100 (haute)

  • ✅ blog.checkpoint.com — source reconnue (liste interne) (20pts)
  • ✅ 5440 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 13 IOCs dont des hashes (15pts)
  • ✅ 3/3 IOCs confirmés (AbuseIPDB, ThreatFox, VirusTotal) (15pts)
  • ✅ 6 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : Qilin (5pts)
  • ⬜ 0/2 CVE(s) confirmée(s) (0pts)

IOCs confirmés externellement :

  • 45.77.149.152 (ip) → VT (4/91 détections)
  • 209.182.225.136 (ip) → VT (3/91 détections)
  • 38.60.157.139 (ip) → VT (3/91 détections)

🔗 Source originale : https://blog.checkpoint.com/security/check-point-releases-important-hotfix-for-vulnerabilities-in-deprecated-ikev1-vpn-protocol/