**Check Point** a publié des mises à jour de sécurité critiques pour corriger une vulnérabilité zero-day, identifiée sous la référence **CVE-2026-50751**, qui a été activement exploitée dans la nature. Cette faille affecte les déploiements VPN d'accès distant et d'accès mobile de **Check Point**, permettant aux attaquants non authentifiés de contourner l'authentification. ### Une faille VPN critique sous attaque active La vulnérabilité **CVE-2026-50751** permet aux attaquants distants d'établir une connexion VPN sans authentification appropriée sur les VPN d'accès mobile / SSL VPN, les VPN d'accès distant ou les pare-feu Spark ciblés. L'exploitation a commencé le 7 mai, avec une augmentation de l'activité observée début juin. **Check Point** a confirmé que les attaques ont touché "quelques dizaines" d'organisations dans le monde. De manière préoccupante, au moins un de ces incidents a été directement lié à des activités post-compromission par un affilié du **ransomware Qilin**. ### Explication de la vulnérabilité Cette faille critique cible spécifiquement les déploiements configurés pour utiliser le protocole d'échange de clés **IKEv1** obsolète. De plus, les systèmes affectés sont ceux dont les passerelles de sécurité acceptent les clients d'accès distant hérités et ne requièrent pas de certificat machine pour les connexions. **Check Point Research** a souligné l'urgence de la situation : "Check Point Research a identifié l'exploitation active de **CVE-2026-50751**, une vulnérabilité critique de contournement d'authentification affectant les déploiements VPN d'accès distant et d'accès mobile de **Check Point** configurés pour utiliser le protocole d'échange de clés **IKEv1** obsolète... Il est fortement recommandé aux clients utilisant le protocole d'échange de clés **IKEv1** d'appliquer immédiatement les mises à jour de sécurité disponibles." ### Atténuation et une seconde découverte Pour les organisations qui ne peuvent pas appliquer les correctifs immédiatement, **Check Point** a fourni plusieurs mesures d'atténuation. Celles-ci incluent la suppression de la prise en charge du client d'accès distant hérité, la configuration des propriétés globales pour l'authentification VPN d'accès distant sur **IKEv2** uniquement, la validation obligatoire de l'authentification par certificat machine et l'activation de l'IPS avec des signatures mises à jour. Lors de leur investigation sur **CVE-2026-50751**, **Check Point** a découvert une seconde vulnérabilité, **CVE-2026-50752**. Cette faille affecte la validation des certificats au sein de l'échange de clés **IKEv1** obsolète, permettant potentiellement des attaques de type man-in-the-middle sur les connexions VPN site-à-site. Bien qu'il n'y ait aucune preuve que **CVE-2026-50752** ait été exploité dans la nature, il est conseillé aux clients d'appliquer les mises à jour pour atténuer toute exposition potentielle. ### Comprendre la menace de Qilin L'opération de **ransomware Qilin**, initialement connue sous le nom d'"Agenda", a émergé en août 2022 en tant que fournisseur proéminent de **Ransomware-as-a-Service (RaaS)**. Depuis sa création, le groupe a revendiqué près de 400 victimes, les listant souvent sur son site de fuite sur le dark web. **Qilin** a ciblé un large éventail d'organisations de haut profil dans divers secteurs. Parmi les victimes notables figurent le géant de l'automobile **Yangfeng**, le constructeur automobile japonais **Nissan**, la société de bière **Asahi**, le géant de l'édition **Lee Enterprises**, le fournisseur de services de pathologie **Synnovis**, et les **Courts Services Victoria** en Australie. Le lien confirmé entre **Qilin** et la faille zero-day du VPN de **Check Point** souligne la menace persistante et évolutive posée par des groupes de ransomware aussi sophistiqués.