Un affiliato del ransomware Qilin ha sfruttato una vulnerabilità zero-day di Check Point VPN per un mese prima che esistesse una patch.

      TL;DRCheck Point ha corretto una vulnerabilità zero-day critica nel VPN (CVE-2026-50751) sfruttata dal 7 maggio da un affiliato del ransomware Qilin che prende di mira dozzine di organizzazioni.

      Check Point ha rivelato e corretto una vulnerabilità zero-day critica nei suoi prodotti Remote Access VPN e Mobile Access che un affiliato del ransomware Qilin ha sfruttato per circa un mese prima che fosse disponibile una soluzione. Il difetto, tracciato come CVE-2026-50751 con un punteggio CVSS di 9.3, consente a un attaccante non autenticato di bypassare completamente l'autenticazione della password e stabilire una sessione VPN sfruttando un errore logico nella convalida del certificato.

      La vulnerabilità colpisce le implementazioni VPN configurate per utilizzare IKEv1, un protocollo di scambio di chiavi deprecato che Check Point supporta ancora per i client di accesso remoto legacy. L'azienda ha dichiarato in un avviso di sicurezza pubblicato domenica che ha rilevato per la prima volta attività sospette il 4 giugno, ma il primo sfruttamento confermato risale al 7 maggio. Gli attacchi sono aumentati significativamente questo mese.

      Check Point ha descritto l'ambito come limitato a "alcune dozzine di organizzazioni mirate a livello globale". In almeno un caso, l'attività post-sfruttamento è stata collegata a un affiliato del ransomware Qilin, un gruppo motivato finanziariamente che ha sempre più fatto affidamento su apparecchi VPN aziendali come vettore di accesso iniziale preferito. Check Point ha affermato che gli attaccanti sembrano sfruttare vulnerabilità VPN di più fornitori, tra cui Palo Alto Networks, Fortinet e F5.

      "Crediamo che questa infrastruttura dell'attore della minaccia stia sfruttando altre vulnerabilità relative alle VPN come quelle pubblicate da Palo Alto, Fortinet e F5", ha osservato Check Point. L'azienda ha anche identificato indicatori che l'attore potrebbe utilizzare il protocollo Tox per la comunicazione, un modello comunemente associato agli operatori di ransomware. Gli attaccanti hanno utilizzato server privati virtuali geolocalizzati nello stesso paese delle loro vittime per condurre le intrusioni, quindi hanno tentato di scaricare file ELF dannosi da infrastrutture controllate dagli attori.

      I risultati si allineano a un modello più ampio di sfruttamento di zero-day che ha accelerato nel 2026. Il Threat Intelligence Group di Google ha documentato il mese scorso come attori criminali e sponsorizzati dallo stato stiano aumentando l'uso di vulnerabilità precedentemente sconosciute, con apparecchi VPN e dispositivi di rete edge costantemente tra le categorie più mirate. I firewall, le VPN e altri apparecchi edge di solito non forniscono telemetria sufficiente per rilevare o fermare questi attacchi, creando quello che i ricercatori definiscono un divario di visibilità a livello di settore.

      Lo sfruttamento riuscito di CVE-2026-50751 richiede che quattro condizioni siano soddisfatte simultaneamente: Remote Access VPN o Mobile Access devono essere abilitati, IKEv1 deve essere attivo per l'accesso remoto, il gateway deve accettare client di accesso remoto legacy e non deve richiedere un certificato di macchina per le connessioni. Check Point ha affermato che è necessaria un'attività post-autenticazione aggiuntiva per accedere alle risorse interne o per elevare i privilegi, il che significa che la sola sessione VPN non concede accesso completo alla rete.

      I prodotti interessati includono Security Gateways attraverso più versioni del firmware, da R82.10 fino alle versioni di fine supporto R81, R81.10 e R80.40, così come i firewall Spark su R80.20.X, R81.10.X e R82.00.X. Spark è la linea di prodotti di Check Point per piccole e medie imprese, il che significa che la vulnerabilità si estende oltre le implementazioni aziendali di grandi dimensioni a organizzazioni con meno risorse per correggere rapidamente.

      L'indagine di Check Point ha anche scoperto una seconda vulnerabilità, CVE-2026-50752, con un punteggio CVSS di 7.4, che potrebbe consentire un attacco di avversario-in-mezzo sulle connessioni VPN site-to-site utilizzando lo stesso protocollo IKEv1 deprecato. Non ci sono prove che CVE-2026-50752 sia stato sfruttato in natura. Entrambi i difetti sono stati affrontati nelle patch che Check Point ha rilasciato insieme alla divulgazione.

      Il gruppo di ransomware Qilin, noto anche come Agenda, è stato uno degli attori della minaccia finanziariamente motivati più attivi nel 2026. Un rapporto di Ctrl-Alt-Intel pubblicato il mese scorso ha documentato l'abuso sistematico del gruppo delle apparecchiature VPN aziendali, in particolare dei dispositivi WatchGuard e Fortinet, per l'accesso iniziale, implementando il framework di comando e controllo Sliver prima di spingere infine i binari di ransomware mirati a ambienti Linux, ESXi e Nutanix. Lo zero-day di Check Point sembra essere l'ultima aggiunta a quel manuale.