12 Giugno 2026 13:01    Alert

Check Point CVE-2026-50751: bypass di autenticazione sulla VPN IKEv1 sfruttato dal ransomware Qilin

Un attaccante non autenticato può accedere alla rete senza conoscere alcuna password: è l'effetto della CVE-2026-50751, vulnerabilità di tipo improper authentication (CWE-287) con CVSS 3.1 pari a 9.3 nei prodotti Check Point. La causa è una mancata validazione dei certificati nelle procedure di Remote Access e Mobile Access che usano il protocollo di scambio chiavi IKEv1, ormai deprecato: sfruttando il difetto è possibile stabilire una sessione VPN eludendo del tutto l'autenticazione. La falla interessa i Security Gateway e anche gli Spark Firewall.

Check Point ha confermato lo sfruttamento attivo in rete: gli attacchi sono iniziati il 7 maggio 2026, con un'impennata a inizio giugno, e almeno un caso è stato ricondotto a un affiliato del ransomware Qilin. Come riportato da Help Net Security e BleepingComputer, le organizzazioni colpite finora sono alcune decine; watchTowr ha pubblicato un'analisi tecnica del bypass. Qilin è una conoscenza del CSIRT: la sua campagna ransomware contro le PMI italiane, condotta sfruttando vulnerabilità su Ivanti e Fortinet, è già stata documentata. Il difetto su un dispositivo perimetrale come la VPN lo rende un vettore di accesso iniziale ideale per operazioni di estorsione.

Va verificato con urgenza chiunque esponga un Check Point Security Gateway o uno Spark Firewall con Remote Access o Mobile Access configurati su IKEv1: sono apparati molto diffusi anche nelle reti di PA e PMI italiane. La vulnerabilità è già sanata dal vendor (hotfix di riferimento sk185033).

  • Versioni affette: Security Gateway R82.10.x (Jumbo Hotfix Take 19 e precedenti), R82.x (Take 103 e precedenti), R81.20.x (Take 141 e precedenti), R81.10.x, R81.x e R80.40.x con tutte le versioni precedenti; Spark Firewall R80.20.x, R81.10.x e R82.00.x con tutte le precedenti.
  • Azione raccomandata: applicare la hotfix Check Point (sk185033); dismettere il protocollo IKEv1 deprecato a favore di IKEv2; cercare gli IoC indicati e verificare eventuali accessi VPN anomali.

 

Fonti: ACN, Help Net Security, Watch Towr Labs