Zero-Day du VPN Check Point exploité par le rançongiciel Qilin — CISA ordonne un correctif fédéral d'ici le 11 juin

Check Point Research a confirmé le 8 juin qu'une vulnérabilité zero-day dans ses produits Remote Access VPN — suivie sous la référence CVE-2026-50751 — fait l'objet d'une exploitation active, avec au moins un cas confirmé lié à un affilié du rançongiciel Qilin. La Cybersecurity and Infrastructure Security Agency (CISA) américaine a ajouté la faille à son catalogue de vulnérabilités exploitées connues (KEV) le même jour et a émis une directive contraignante exigeant des agences fédérales américaines d'appliquer le correctif disponible d'ici le 11 juin — une fenêtre de 72 heures qui reflète la gravité de la menace.

La vulnérabilité est un contournement d'authentification affectant les déploiements Check Point Remote Access VPN, Mobile Access et Spark Firewall configurés pour utiliser le protocole d'échange de clés obsolète IKEv1. Un attaquant exploitant cette faille peut établir une session VPN entièrement authentifiée sans posséder de mot de passe utilisateur valide en exploitant une erreur logique dans le processus de validation des certificats. La connexion réussit au niveau VPN ; une exploitation supplémentaire après connexion est nécessaire pour atteindre les systèmes internes, mais le contournement initial supprime ce qui devrait être le premier mur dur contre les accès non autorisés.

Chronologie et portée

Check Point indique avoir détecté une activité suspecte pour la première fois le 4 juin 2026, mais des preuves médico-légales suggèrent que l'exploitation initiale a commencé dès le 7 mai. L'exploitation active s'est intensifiée début juin à mesure que les acteurs malveillants ont reconnu la fenêtre entre la découverte et la divulgation publique. À la date de l'avis du 8 juin, l'exploitation a été confirmée dans quelques dizaines d'organisations dans le monde. Un seul incident a été définitivement attribué à une activité post-compromission par un affilié du rançongiciel Qilin — mais compte tenu du rythme opérationnel de Qilin et de la faible barrière à l'exploitation, ce nombre devrait augmenter.

Qilin est une opération de rançongiciel en tant que service (RaaS) active depuis au moins 2022 et ayant considérablement accru sa cadence d'attaques en 2025-2026. Le groupe est connu pour la double extorsion — chiffrer les fichiers tout en exfiltrant les données pour faire levier dans les négociations de rançon. Leurs affiliés ciblent régulièrement l'infrastructure VPN et d'accès à distance comme vecteur d'accès initial, faisant de CVE-2026-50751 un choix naturel pour leur manuel opérationnel.

Une deuxième vulnérabilité découverte dans le même chemin de code

Lors de son enquête sur CVE-2026-50751, l'équipe de recherche de Check Point a utilisé sa plateforme de sécurité de code agentic BLAST pour mener un audit étendu des composants VPN affectés. Cet examen a révélé une deuxième vulnérabilité : CVE-2026-50752, notée CVSS 7,4. Cette faille réside également dans le chemin de code de validation des certificats IKEv1 obsolète et pourrait permettre à un attaquant de type Man-in-the-Middle d'interférer avec les communications VPN site à site dans des configurations spécifiques. Check Point n'a pas observé d'exploitation active de CVE-2026-50752, mais l'a corrigée de manière proactive dans le même pack de correctif.

Le protocole IKEv1 a été abandonné par l'IETF au profit d'IKEv2 il y a des années, et sa présence en tant que cause racine des deux vulnérabilités souligne un schéma récurrent dans la sécurité d'entreprise : le support de protocoles obsolètes maintenu pour la rétrocompatibilité devient une surface d'attaque durable. Les organisations qui ont désactivé IKEv1 dans leurs environnements Check Point ne sont affectées par aucun des deux CVE.

Produits concernés et correctifs

La vulnérabilité affecte les produits Check Point configurés avec Remote Access VPN ou Mobile Access qui acceptent les connexions IKEv1 ou qui acceptent les clients d'accès à distance hérités sans nécessiter de certificat machine. Check Point a publié des correctifs pour toutes les gammes de produits prises en charge. BleepingComputer et SecurityWeek rapportent que l'entreprise a également fourni des mesures d'atténuation pour les organisations dans l'incapacité d'appliquer le patch immédiatement — principalement désactiver l'acceptation des clients hérités et IKEv1 dans la configuration de la passerelle VPN.

Les administrateurs doivent traiter ce correctif comme une mise à jour d'urgence, et non comme une maintenance planifiée. La disponibilité publique d'une entrée KEV de la CISA et le lien confirmé avec un rançongiciel signifient que le code d'exploitation sera probablement partagé plus largement dans les communautés d'acteurs malveillants d'ici quelques jours. Les organisations disposant d'une infrastructure VPN Check Point exposée à Internet et n'ayant pas encore appliqué le correctif devraient le faire avant le week-end.