Vous êtes victime d'une attaque ?
Les organisations utilisant les solutions Check Point Remote Access VPN, Mobile Access ou Spark Firewall sont invitées à prendre des mesures immédiates suite à la confirmation de l'exploitation active de CVE-2026-50751, une vulnérabilité critique de contournement d'authentification. Cette faille, classée avec un score de gravité élevé de 9.3, affecte les environnements configurés pour utiliser le protocole d'échange de clés IKEv1 déprécié et permet à des attaquants non authentifiés d'obtenir un accès VPN sans identifiants d'utilisateur valides.
La vulnérabilité provient d'une faille logique dans la validation des certificats au sein des composants VPN concernés. En abusant de cette faiblesse, un attaquant peut établir une session VPN à distance sans présenter de mot de passe légitime. Bien que des étapes supplémentaires soient nécessaires après l'accès initial pour se déplacer latéralement ou escalader les privilèges, ce contournement abaisse considérablement la barrière d'entrée non autorisée dans les réseaux d'entreprise, sapant ainsi efficacement les défenses périmétriques.
Les attaques observées ont été limitées mais ciblées, touchant plusieurs dizaines d'organisations dans le monde. Check Point a identifié des activités suspectes à partir du 4 juin 2026, avec une exploitation confirmée remontant au moins au 7 mai 2026. Notamment, un incident a montré une activité post-compromission liée à un ransomware affilié à Qilin, ce qui indique que les acteurs de la menace exploitent cette vulnérabilité comme vecteur d'accès initial dans le cadre d'opérations à motivation financière.
L'acteur de la menace associé à ces attaques semble exploiter une infrastructure structurée utilisant des serveurs privés virtuels hébergés chez plusieurs fournisseurs, dont Kaupo Cloud HK, Shock Hosting et Vultr. Dans certains cas, la géolocalisation de l'infrastructure de l'attaquant est en corrélation avec celle de la victime ciblée, ce qui suggère des stratégies de ciblage délibérées. Les indicateurs suggèrent également l'utilisation du protocole de communication Tox, généralement associé aux groupes de ransomware cherchant à échapper à la surveillance, et l'utilisation d'outils tels que Rclone pour l'exfiltration des données.
Une fois l'exploitation réussie, les attaquants ont été observés en train de tenter de déployer des charges utiles de ransomware basées sur Linux, y compris des binaires ELF associés aux campagnes de ransomware Qilin. Cela démontre une progression claire de l'accès initial au vol et au chiffrement potentiels des données, soulignant l'urgence de la détection et de la réponse. En outre, la même infrastructure d'acteurs serait en train de sonder ou d'exploiter activement d'autres vulnérabilités VPN chez plusieurs fournisseurs, notamment Palo Alto Networks, Fortinet et F5, ce qui laisse supposer une campagne plus large ciblant les technologies d'accès à distance.
En plus de CVE-2026-50751, Check Point a identifié une vulnérabilité connexe, CVE-2026-50752, au cours de son enquête. Ce problème secondaire affecte la validation des certificats dans IKEv1 et pourrait permettre des attaques de type "man-in-the-middle" sur les connexions VPN site à site dans des conditions spécifiques. Bien qu'il n'y ait aucune preuve d'exploitation de cette faille dans la nature, son existence renforce les risques associés à l'utilisation de protocoles anciens et à des configurations dépassées.
Les organisations devraient adopter une posture de risque accru, en particulier si elles continuent à utiliser des configurations IKEv1 obsolètes. Il est fortement recommandé de remédier immédiatement à la situation en appliquant les correctifs fournis par le fournisseur et en effectuant des mises à niveau vers les versions logicielles prises en charge. Lorsque les correctifs ne peuvent être appliqués immédiatement, le risque peut être réduit en désactivant IKEv1, en supprimant la prise en charge des clients d'accès à distance et en appliquant des contrôles d'authentification plus stricts, tels que des certificats machine obligatoires pour les connexions VPN.
Il est conseillé aux équipes de sécurité de procéder à des analyses approfondies des journaux d'authentification et des enregistrements d'accès VPN remontant au début du mois de mai 2026. Les indicateurs de compromission fournis par Check Point, y compris les adresses IP suspectes et les hachages de fichiers, devraient être utilisés pour identifier les intrusions potentielles. Une attention particulière doit être portée aux sessions VPN anormales, aux modèles d'accès géographiques inattendus et aux activités de transfert de données inhabituelles qui pourraient signaler une compromission en cours ou une exfiltration de données.
Compte tenu de l'implication des opérateurs de ransomware, les organisations devraient également valider l'intégrité des systèmes critiques, vérifier la disponibilité des sauvegardes et s'assurer que les plans d'intervention en cas d'incident sont prêts à être exécutés. La détection précoce et l'endiguement restent essentiels pour empêcher l'escalade vers le déploiement complet du ransomware.
Si vous êtes préoccupé par l'une des menaces décrites dans ce bulletin ou si vous avez besoin d'aide pour déterminer les mesures à prendre pour vous protéger contre les menaces les plus importantes auxquelles votre organisation est confrontée, veuillez contacter votre gestionnaire de compte, ou bien prenez contact avecnous pour savoir comment vous pouvez protéger votre organisation.
