CVE-2026-50751 : Check Point VPN exploité par Qilin, CVSS 9.3

Les faits

Le 8 juin 2026, Check Point Software Technologies a publié un advisory critique signalant l'exploitation active de CVE-2026-50751, une vulnérabilité d'authentification incorrecte (CWE-287) affectant ses solutions Remote Access VPN, Mobile Access et Spark Firewall. La note CVSS est de 9.3, ce qui en fait l'une des failles les plus sévères publiées sur ces produits depuis plusieurs années.

La vulnérabilité réside dans la logique de validation des certificats lors de l'échange de clés IKEv1 (Internet Key Exchange version 1). Lorsqu'une passerelle accepte des connexions de clients remote access legacy sans exiger de certificat machine, un attaquant non authentifié peut initier une session VPN complète en contournant entièrement la phase d'authentification. Quatre conditions doivent être réunies simultanément : Remote Access VPN ou Mobile Access est activé, IKEv1 est utilisé pour les connexions remote access, la passerelle accepte les anciens clients remote access (legacy), et aucun certificat machine n'est requis pour établir la connexion.

L'exploitation active a débuté le 7 mai 2026, soit plus d'un mois avant la divulgation publique du 8 juin. Check Point a confirmé avoir observé une nette montée en puissance des attaques en début de juin 2026. L'acteur de menace a utilisé une infrastructure VPS dédiée, avec des adresses IP hébergées chez Kaupo Cloud HK, Shock Hosting et Vultr Holdings. Les tentatives post-exploitation visaient à récupérer des charges de type ELF depuis des serveurs sous contrôle de l'attaquant — des charges qui ont permis d'établir le lien avec le groupe ransomware Qilin.

Au moins un incident confirmé est directement attribué à un affiliate de l'opération ransomware Qilin. L'analyse binaire des charges récupérées et l'observation des comportements post-exploitation ont permis d'établir cette attribution. Qilin (alias Agenda) est un groupe ransomware-as-a-service actif depuis 2022, connu pour ses attaques à double extorsion ciblant des entreprises de taille intermédiaire, des établissements de santé et des infrastructures critiques. L'affiliate impliqué utilisait le protocole de communication Tox pour ses échanges et le logiciel open-source Rclone pour l'exfiltration des données avant chiffrement.

En parallèle de CVE-2026-50751, Check Point a identifié une vulnérabilité secondaire : CVE-2026-50752 (CVSS 7.4), qui affecte la validation des certificats dans les connexions VPN site-à-site utilisant IKEv1. Cette seconde faille peut permettre des attaques de type man-in-the-middle dans des conditions spécifiques. Aucune exploitation active de CVE-2026-50752 n'a été confirmée à ce jour, mais Check Point recommande d'appliquer le hotfix qui couvre les deux vulnérabilités simultanément.

La CISA a ajouté CVE-2026-50751 à son catalogue Known Exploited Vulnerabilities (KEV) et émis une directive d'urgence imposant aux agences fédérales civiles américaines (FCEB) de sécuriser leurs équipements avant le 11 juin 2026 — soit sous 72 heures à compter de la publication de l'advisory. Ce délai extrêmement court est réservé aux situations d'exploitation active présentant un risque immédiat pour les infrastructures critiques.

Le nombre d'organisations victimes confirmées reste limité au moment de la divulgation — Check Point parle de « quelques dizaines » à l'échelle mondiale — mais le vecteur d'attaque est trivial à automatiser. Un scan de l'Internet à la recherche de passerelles Check Point avec IKEv1 actif, suivi d'une tentative d'exploitation automatisée, peut être réalisé en quelques heures. La fenêtre d'exposition est donc large pour les organisations n'ayant pas encore appliqué les mitigations.

Les versions affectées couvrent un large spectre : Security Gateways de R82.10 jusqu'aux releases en fin de support R81, R81.10 et R80.40, ainsi que les Spark firewalls sur R80.20.X, R81.10.X et R82.00.X. Check Point a publié un hotfix dédié ainsi qu'une procédure de mitigation alternative pour les organisations ne pouvant pas patcher immédiatement, disponible sur le Support Center Check Point.

Impact et exposition

Les organisations les plus exposées sont celles qui n'ont pas migré vers IKEv2 et maintiennent une compatibilité avec des clients remote access anciens — profil fréquent chez les PME, collectivités locales et filiales dont les équipements n'ont pas été mis à jour depuis plusieurs cycles. L'exploitation ne requiert aucune interaction utilisateur et peut être automatisée : l'attaquant obtient directement une session VPN avec les droits d'un utilisateur légitime, ouvrant la voie à la reconnaissance interne, le mouvement latéral, l'exfiltration, puis le déploiement du ransomware — exactement le schéma Qilin documenté.

Recommandations

• Appliquer immédiatement le hotfix Check Point pour CVE-2026-50751 sur toutes les passerelles concernées.
• Désactiver le support du protocole IKEv1 pour les connexions remote access et forcer l'usage d'IKEv2 uniquement dans les Global Properties.
• Rendre obligatoire l'authentification par certificat machine (Machine Certificate Authentication) pour toutes les connexions VPN Remote Access.
• Activer les signatures IPS dédiées et télécharger les dernières mises à jour de signature fournies par Check Point.
• Auditer les logs VPN depuis le 7 mai 2026 pour identifier toute session anormale (connexions sans certificat machine, sessions IKEv1 depuis des IP inconnues).
• Isoler immédiatement toute passerelle suspecte et engager une analyse forensique en cas de doute.