Zero-day nelle VPN Check Point: gli hacker sono entrati senza password

Una vulnerabilità nel protocollo IKEv1 ha consentito in certe configurazione di effettuare attacchi ransomware da parte dei malintenzionati. La vulnerabilità CVE-2026-50751 è stata sfruttata dagli autori del ransomware Qilin. Check Point ha rilasciato una patch urgente

Una vulnerabilità nel protocollo IKEv1, ormai obsoleto, consentiva connessioni non autenticate alle VPN di Check Point. A questo problema critico, che interessa Remote Access VPN e Mobile Access, è stato assegnato l’identificativo CVE-2026-50751 (punteggio CVSS 9.3) e Check Point ha già rilasciato una patch urgente. Tuttavia, la vulnerabilità zero-day è già stata oggetto di attacchi per oltre un mese ed è stata sfruttata dagli autori del ransomware Qilin .

La vulnerabilità consiste in un difetto logico nel meccanismo di verifica del certificato e il suo sfruttamento ha permesso a un utente malintenzionato remoto di aggirare l’autenticazione e stabilire una connessione VPN anche senza conoscere la password. Tuttavia, si precisa che per ottenere un accesso più completo alle risorse interne o per elevare i propri privilegi sarebbero necessarie ulteriori azioni.

Infatti gli specialisti di Check Point sottolineano che il problema riguarda solo determinate configurazioni. Per sfruttare la vulnerabilità è necessario che il protocollo di scambio chiavi IKEv1 legacy sia abilitato nell’infrastruttura, che il gateway mantenga il supporto per i client legacy e che non richieda l’autenticazione obbligatoria tramite un certificato del dispositivo.

Secondo l’azienda, i primi attacchi mirati alla vulnerabilità CVE-2026-50751 sono iniziati già il 7 maggio 2026, ma la loro intensità è aumentata significativamente all’inizio di giugno. Sebbene al momento siano colpite solo poche decine di organizzazioni in tutto il mondo, i ricercatori hanno rilevato attività correlate al ransomware Qilin in almeno un caso.

Gli esperti ritengono inoltre che la stessa infrastruttura potrebbe essere utilizzata per sfruttare altre vulnerabilità VPN nei prodotti di Palo Alto Networks, Fortinet e F5. È stata inoltre rinvenuta la prova del protocollo Tox, spesso utilizzato dagli operatori di ransomware per comunicare tra i propri nodi.

Il rapporto dell’azienda rileva che, durante l’indagine sugli attacchi e lo studio della vulnerabilità CVE-2026-50751, è stata scoperta un’altra vulnerabilità, il CVE-2026-50752. Quest’ultima ha ricevuto un punteggio CVSS di 7.4 ed è anch’essa correlata a IKEv1. Questo bug può essere sfruttato per attacchi Man-in-the-Middle (MitM) su connessioni VPN site-to-site. Al momento non sono state riscontrate tracce di sfruttamento di questa vulnerabilità, ma si consiglia comunque agli utenti di installare gli aggiornamenti il prima possibile.

Per coloro che non sono in grado di implementare immediatamente le patch, Check Point consiglia di disabilitare il supporto per i client di accesso remoto meno recenti, di utilizzare solo IKEv2 per l’autenticazione, di richiedere l’autenticazione tramite certificato del dispositivo, di abilitare IPS e di scaricare le firme più recenti.

Luigi Zullo

Ricercatore di sicurezza informatica con esperienza nell’analisi delle vulnerabilità, nella mitigazione del rischio cyber, nelle attività di red teaming ed ethical hacking e nella protezione di sistemi complessi. Specializzato in penetration testing e Threat Intelligence, contribuisce al rafforzamento della resilienza digitale di infrastrutture e reti aziendali.

Aree di competenza: Penetration Testing, Threat Intelligence, Red Teaming, Vulnerability Assessment, Incident Response