🔍 Contexte
Le 12 juin 2026, watchTowr Labs publie une analyse technique approfondie de CVE-2026-50751, une vulnérabilité de bypass d’authentification (CVSS 9.3) affectant les produits Check Point Remote Access VPN, Mobile Access et Spark Firewall. Check Point a publié des hotfixes le 8 juin 2026. La vulnérabilité est inscrite au CISA KEV et a été exploitée in the wild.
🎯 Produits affectés
Les versions Gaia suivantes sont concernées :
- R80.20.X, R80.40, R81, R81.10, R81.10.X, R81.20, R82, R82.00.X, R82.10
Les versions en fin de support ne reçoivent aucun hotfix.
🐛 Description technique de la vulnérabilité
La faille réside dans le daemon iked (et non vpnd), dans le code de négociation IKEv1. Elle est localisée dans les fichiers ikeMainMode.cc, ikeAggressive.cc et machine_cert_utils.cc.
Mécanisme du bypass :
- La fonction
process_cert_payloads()acceptait un paramètre entier (process_machine_certs) fourni par l’appelant, permettant au client de décider si ses certificats devaient être vérifiés. - Dans
process_auth_pl, le bit0x2d’un dword àstate+0x4bc4conditionne la vérification de signature (processSigPayload). Si ce bit est à 0, la vérification est court-circuitée. - Dans
verify_peer_auth, le bit0x4du même dword court-circuiteverifyMessagePhase1via un opérateur||, retournant directement “authentifié”. - Ce dword critique est écrit directement depuis le payload Vendor ID (
VPNExtFeatures, magic :3c f1 87 b2 47 40 29 ea 46 ac 7f d0 ea f2 89 f5) fourni par le client, sans validation.
En résumé : le client envoie un Vendor ID avec les 4 octets 0x00000004, ce qui positionne le bit 0x4 et désactive toute vérification d’authentification côté serveur.
💥 Exploitation démontrée
watchTowr a développé un PoC complet :
- Envoi d’un certificat X.509 auto-signé avec une clé privée jetée
- Signature constituée de
os.urandom(256)(garbage aléatoire) - Vendor ID
VPNExtFeaturesavec cap =0x00000004 - Résultat : authentification acceptée, session IKE phase-1 établie, IP interne du gateway récupérée
L’exploitation fonctionne sur UDP 500/4500 et TCP 443 (via le protocole TCPT / Visitor Mode).
Modes d’authentification bypassables :
- Certificate ✅
- Certificate with enrollment ✅
- Mixed ✅
- Legacy (username/password) ❌ (XAUTH protège encore)
Prérequis : connaître un nom d’utilisateur valide (la réponse d’erreur sert d’oracle) et la chaîne O= de l’ICA (visible dans le certificat TLS public du gateway).
🕵️ Exploitation in the wild
- Exploitation observée depuis le 7 mai 2026 (environ 1 mois avant le patch)
- “Quelques dizaines d’organisations ciblées” selon Check Point
- Au moins un incident lié à un affilié du ransomware Qilin
📄 Type d’article
Analyse technique de recherche offensive publiée par watchTowr Labs, accompagnée d’un PoC fonctionnel (DAG disponible sur GitHub), visant à documenter la vulnérabilité et fournir des artefacts de détection.
🧠 TTPs et IOCs détectés
Acteurs de menace
- Qilin (cybercriminal) —
TTP
- T1190 — Exploit Public-Facing Application (Initial Access)
- T1078 — Valid Accounts (Defense Evasion)
- T1556 — Modify Authentication Process (Credential Access)
- T1588.006 — Obtain Capabilities: Vulnerabilities (Resource Development)
IOC
Malware / Outils
- Qilin (ransomware)
- watchTowr-vs-Check-Point-CVE-2026-50751 (tool)
🟡 Indice de vérification factuelle : 51/100 (moyenne)
- ⬜ labs.watchtowr.com — source non référencée (0pts)
- ✅ 16738 chars — texte complet (fulltext extrait) (15pts)
- ✅ 2 IOC(s) (6pts)
- ⬜ 0/1 IOCs confirmés externellement (0pts)
- ✅ 4 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ✅ acteur(s) identifié(s) : Qilin (5pts)
- ⬜ 0/1 CVE(s) confirmée(s) (0pts)
🔗 Source originale : https://labs.watchtowr.com/marking-your-own-homework-check-point-remote-access-vpn-ikev1-authentication-bypass-cve-2026-50751/?utm_source=substack&utm_medium=email