Un affiliate del ransomware Qilin ha sfruttato attivamente dal 7 maggio 2026 la vulnerabilità CVE-2026-50751 nei gateway Check Point VPN, ottenendo sessioni remote senza password valida sfruttando un flaw nella validazione certificati del protocollo IKEv1. Check Point ha rilasciato patch e advisory l'8 giugno 2026, dopo aver rilevato attività sospetta il 4 giugno. L'intervallo di esposizione effettiva supera le quattro settimane, concentrata su poche decine di organizzazioni globali con configurazione legacy specifica.
- La CVE-2026-50751 ha CVSS 9.3 ed è attivamente sfruttata: un attaccante remoto non autenticato stabilisce una VPN session tramite logic flaw in IKEv1 senza possedere una password valida.
- Il primo exploit risale al 7 maggio 2026; la patch è disponibile dall'8 giugno 2026, con un gap di circa quattro settimane tra inizio attacco e remediation.
- Un solo caso confermato mostra post-compromise activity associata a un affiliate Qilin, con uso di infrastruttura VPS correlata geograficamente alle vittime e Rclone per esfiltrazione dati.
- L'exploit richiede tre condizioni cumulative: VPN Remote Access/Mobile Access abilitato, gateway che accetta client legacy, e mancato requisito di machine certificate.
Il meccanismo: un flaw logico nel certificato IKEv1 deprecato
La vulnerabilità risiede in una weakness del flusso logico di validazione dei certificati all'interno del protocollo IKEv1, che Check Point ha ufficialmente deprecato ma che resta attivabile su molte installazioni. Secondo l'advisory ufficiale sk185033, un attaccante può "bypass user authentication" e "establish a remote access VPN connection without a valid user password". Il meccanismo non richiede credenziali rubate né social engineering: l'attaccante sfrutta il disallineamento tra verifica del certificato e verifica della password per stabilire una sessione VPN autenticata.
Il protocollo IKEv1 è tecnicamente obsoleto da anni, ma la sua accettazione rimane configurabile sui gateway per compatibilità con client legacy. Questa configurazione, combinata con l'assenza di obbligo di machine certificate, crea la superficie d'attacco. Check Point ha confermato che la vulnerabilità non si manifesta su IKEv2 né quando il gateway richiede esplicitamente un machine certificate.
La timeline del month-long head start
La catena temporale è particolarmente rilevante per la valutazione del rischio. Le prime intrusioni documentate partono dal 7 maggio 2026. Check Point nota attività anomala solo il 4 giugno 2026, quando i propri team iniziano l'analisi forense. La pubblicazione dell'advisory e il rilascio degli hotfix avvengono il 8 giugno 2026.
Secondo The Register, che cita Lotem Finkelstein, vice president di Check Point Research, "la maggior parte dei tentativi è avvenuta nei giorni recenti, non nelle settimane precedenti". Questa affermazione, riportata anche da Dark Reading con la citazione diretta di uno spokesperson Check Point Research, suggerisce un'intensificazione dell'attività dell'attore minaccia nelle fasi finali della window of exposure, piuttosto che un'esplorazione costante dal primo giorno.
HelpNetSecurity riporta che l'attore opera attraverso infrastrutture VPS dedicate su provider come Kaupo Cloud HK, Shock Hosting e Vultr Holdings, con una correlazione misurabile tra la geografia delle vittime e la geolocalizzazione dei server utilizzati per l'attacco. La stessa fonte documenta l'uso del protocollo Tox per le comunicazioni e di Rclone, tool open-source di sincronizzazione cloud, per l'esfiltrazione dati basata su hash di file.
Il contesto Qilin: un affiliate, non il gruppo principale
Le fonti concordano nel non attribuire l'attacco al gruppo Qilin in senso organizzativo, ma a un suo affiliate operativamente indipendente. HelpNetSecurity specifica che "one case involved confirmed post-compromise activity associated with Qilin ransomware affiliate", formulazione che Check Point ha ripetuto attraverso più canali. The Hacker News aggiunge che "to the best of our knowledge to date, there is no indication the vulnerability was broadly available to other threat actors", circoscrivendo la diffusione dell'exploit al singolo attore identificato.
L'affiliate in questione non si limita alla zero-day Check Point. Secondo la stessa fonte, Check Point ha rilevato che "this threat actor infrastructure is exploiting other VPN related vulnerabilities such as the ones published by Palo Alto, Fortinet and F5". Questo pattern conferma una strategia di targeting sistematico delle appliance perimetrali VPN, indipendentemente dal vendor, con possibile riciclo di exploit già divulgati per altre piattaforme.
"By exploiting a logic flaw in certificate validation, an attacker can establish a VPN session without possession of a valid password, effectively bypassing authentication requirements"
— Check Point, via The Hacker News
Versioni affette e condizioni di esposizione
La vulnerabilità colpisce versioni specifiche di Security Gateways e Spark Firewalls. Secondo l'advisory Check Point e la conferma di The Hacker News, le versioni interessate sono: Security Gateways R82.10 con JHF Take 19 o inferiori, R82 con JHF Take 103 o inferiori, R81.20 con JHF Take 141 o inferiori, R81.10 (fine supporto), R81 (fine supporto), R80.40 (fine supporto); Spark Firewalls R80.20.X (fine supporto), R81.10.X, R82.00.X.
Il verificarsi dell'exploit dipende dalla concomitanza di tre condizioni: il modulo VPN Remote Access/Mobile Access deve essere abilitato sul gateway; il gateway deve essere configurato per accettare client legacy, che implicitamente attiva il supporto IKEv1; e non deve essere imposto il requisito di machine certificate per l'autenticazione. Solo quando tutte e tre le condizioni sono presenti la vulnerabilità è esponibile.
Check Point ha rilasciato hotfix specifici per le versioni supportate R81.20, R82 e R82.10. Per le versioni fuori supporto ufficiale, l'advisory indica mitigazioni alternative: rimuovere il supporto client legacy, forzare l'uso esclusivo di IKEv2, o rendere obbligatorio il machine certificate. L'advisory correlato sk185035 documenta una seconda vulnerabilità, CVE-2026-50752 con CVSS 7.4, relativa a un attacco man-in-the-middle su VPN site-to-site; in questo caso Check Point dichiara esplicitamente che "there are no reported exploits of this vulnerability".
Cosa fare adesso
- Verificare immediatamente nei log SmartConsole, per il periodo dal 7 maggio 2026, le query indicate nell'advisory Check Point sk185033 per identificare connessioni sospette dagli IoC pubblicati, inclusi gli indirizzi IP VPS documentati.
- Applicare gli hotfix disponibili per R81.20, R82 e R82.10, oppure attivare le mitigazioni alternative (IKEv2-only, machine certificate mandatory, rimozione supporto client legacy) sui gateway non ancora patchabili.
- Rivedere la configurazione VPN per eliminare IKEv1 dove non strettamente necessario, dato che il protocollo è deprecato e rappresenta una superficie d'attacco documentata.
- Monitorare l'infrastruttura per segni di post-compromise activity coerenti con il modus operandi documentato: esfiltrazione via Rclone, comunicazioni Tox, presenza di VPS nei range provider citati nell'advisory.
La lezione: quando il deprecato non è spento
Il caso CVE-2026-50751 solleva una questione strutturale sulla gestione del debito tecnico di sicurezza. IKEv1 è deprecato da Check Point, ma la sua rimozione effettiva dipende dalle scelte di configurazione dei singoli amministratori. Il gap di circa quattro settimane tra primo exploit e disclosure non indica un ritardo del vendor nella responsività: Check Point sostiene di aver scoperto l'attività sospetta il 4 giugno e pubblicato il 8, un intervallo di quattro giorni che rientra nelle best practice di incident response. Il problema è piuttosto la visibilità: un protocollo considerato tecnicamente obsoleto può rimanere invisibile agli scanner e ai monitoraggi fino a quando non genera un evento esplicito.
L'attore minaccia ha sfruttato questa cecità operativa, concentrandosi su una configurazione ristretta ma sufficientemente diffusa per colpire poche decine di target globali. Il basso numero di vittime, lontano dalla scala dei worm o delle campagne massiva, non diminuisce la gravità: per le organizzazioni interessate, il bypass dell'autenticazione VPN rappresenta una compromissione dell'intero perimetro. Il pattern di targeting multi-vendor suggerisce che questo approccio — cercare protocolli legacy su appliance perimetrali — resterà una costante del threat landscape prossimo venturo.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://www.helpnetsecurity.com/2026/06/08/check-point-cve-2026-50751-qilin-ransomware/
- https://thehackernews.com/2026/06/critical-check-point-vpn-flaw-exploited.html
- https://www.darkreading.com/vulnerabilities-threats/check-point-vpn-flaw-exploited-early-may
- https://www.securityweek.com/cybersecurity-ma-roundup-26-deals-announced-in-may-2026/
- http://www.darkreading.com/vulnerabilities-threats/check-point-vpn-flaw-exploited-early-may
- https://www.theregister.com/cyber-crime/2026/06/08/attackers-had-month-long-head-start-on-patched-check-point-vpn-zero-day/5252438
- https://support.checkpoint.com/results/sk/sk185033
- https://support.checkpoint.com/results/sk/sk185035
- https://support.checkpoint.com/results/sk/sk185033?_gl=1*fpzxbq*_gcl_au*MTg5ODQxMzcuMTc3ODUwOTk1Ng