Le organizzazioni che utilizzano le soluzioni Check Point Remote Access VPN, Mobile Access o Spark Firewall sono invitate a prendere provvedimenti immediati in seguito alla conferma dello sfruttamento attivo di CVE-2026-50751, una vulnerabilità critica di bypass dell'autenticazione. Questa falla, classificata con un punteggio di gravità elevato pari a 9,3, colpisce gli ambienti configurati per l'utilizzo del protocollo di scambio di chiavi IKEv1 deprecato e consente agli aggressori non autenticati di ottenere l'accesso VPN senza credenziali utente valide.
La vulnerabilità deriva da una falla logica nella convalida dei certificati all'interno dei componenti VPN interessati. Abusando di questa debolezza, un aggressore può stabilire una sessione VPN remota senza presentare una password legittima. Sebbene siano necessari ulteriori passaggi dopo l'accesso iniziale per spostarsi lateralmente o aumentare i privilegi, questo bypass abbassa notevolmente la barriera per l'ingresso non autorizzato nelle reti aziendali, minando di fatto le difese perimetrali.
Gli attacchi osservati sono stati limitati ma mirati, con un impatto su diverse decine di organizzazioni a livello globale. Check Point ha identificato attività sospette a partire dal 4 giugno 2026, con uno sfruttamento confermato che risale almeno al 7 maggio 2026. In particolare, un incidente ha dimostrato un'attività post-compromissione legata a un affiliato del ransomware Qilin, indicando che gli attori delle minacce stanno sfruttando questa vulnerabilità come vettore di accesso iniziale nelle operazioni a scopo finanziario.
L'attore delle minacce associato a questi attacchi sembra gestire un'infrastruttura strutturata utilizzando server privati virtuali ospitati da diversi fornitori, tra cui Kaupo Cloud HK, Shock Hosting e Vultr. In alcuni casi, la geolocalizzazione dell'infrastruttura dell'aggressore è correlata a quella della vittima presa di mira, il che suggerisce strategie di targeting deliberate. Gli indicatori suggeriscono anche l'uso del protocollo di comunicazione Tox, comunemente associato ai gruppi di ransomware che cercano di eludere il monitoraggio, e l'uso di strumenti come Rclone per l'esfiltrazione dei dati.
Dopo l'exploit, gli aggressori sono stati osservati mentre tentavano di distribuire payload ransomware basati su Linux, compresi i binari ELF associati alle campagne ransomware Qilin. Ciò dimostra una chiara progressione dall'accesso iniziale al potenziale furto e alla crittografia dei dati, evidenziando l'urgenza del rilevamento e della risposta. Inoltre, si ritiene che la stessa infrastruttura di attori stia attivamente sondando o sfruttando altre vulnerabilità VPN di diversi fornitori, tra cui Palo Alto Networks, Fortinet e F5, il che suggerisce una campagna più ampia rivolta alle tecnologie di accesso remoto.
Oltre a CVE-2026-50751, Check Point ha identificato una vulnerabilità correlata, CVE-2026-50752, durante la sua indagine. Questo problema secondario riguarda la convalida dei certificati in IKEv1 e potrebbe consentire attacchi man-in-the-middle su connessioni VPN site-to-site in condizioni specifiche. Sebbene non vi siano prove di sfruttamento di questa falla, la sua esistenza rafforza i rischi associati all'uso di protocolli precedenti e a configurazioni obsolete.
Le organizzazioni devono assumere una postura di rischio più elevata, in particolare se continuano a utilizzare configurazioni IKEv1 deprecate. Si raccomanda di porre immediatamente rimedio alla situazione applicando gli hotfix forniti dal fornitore e gli aggiornamenti alle versioni software supportate. Nei casi in cui non sia possibile eseguire immediatamente le patch, è possibile ridurre il rischio disabilitando IKEv1, rimuovendo il supporto dei client di accesso remoto legacy e applicando controlli di autenticazione più severi, come l'obbligo di certificati macchina per le connessioni VPN.
Si consiglia ai team di sicurezza di avviare analisi forensi complete dei log di autenticazione e dei record di accesso VPN risalenti all'inizio di maggio 2026. Gli indicatori di compromissione forniti da Check Point, compresi gli indirizzi IP e gli hash dei file sospetti, devono essere utilizzati per identificare potenziali intrusioni. Occorre prestare particolare attenzione alle sessioni VPN anomale, agli schemi di accesso geografico inaspettati e alle attività di trasferimento dati insolite che potrebbero segnalare una compromissione in corso o l'esfiltrazione dei dati.
Dato il coinvolgimento degli operatori di ransomware, le organizzazioni dovrebbero anche convalidare l'integrità dei sistemi critici, esaminare la disponibilità dei backup e assicurarsi che i piani di risposta agli incidenti siano pronti per l'esecuzione. L'individuazione precoce e il contenimento rimangono essenziali per prevenire l'escalation verso la piena diffusione del ransomware.
Se siete preoccupati per una qualsiasi delle minacce descritte in questo bollettino o se avete bisogno di aiuto per determinare le misure da adottare per proteggervi dalle minacce più importanti per la vostra organizzazione, contattate il vostro account manager o, in alternativa, mettetevi in contattoper scoprire come potete proteggere la vostra organizzazione.