La **Cybersecurity and Infrastructure Security Agency (CISA)** a émis une directive aux agences gouvernementales américaines, exigeant une action immédiate pour sécuriser leurs déploiements **Check Point Remote Access VPN** et **Mobile Access**. Ce mandat urgent fait suite à la découverte de la **CVE-2026-50751**, une vulnérabilité critique activement exploitée dans des attaques zero-day par des affiliés du groupe **Qilin ransomware**. Cette faille de sécurité permet aux attaquants distants non authentifiés de contourner les protocoles d'authentification, établissant ainsi une connexion VPN d'accès à distance sur les **Mobile Access/SSL VPNs**, les **Remote Access VPNs**, ou les pare-feu **Spark** ciblés. Crucialement, la vulnérabilité affecte spécifiquement les instances configurées pour utiliser le protocole d'échange de clés **IKEv1** obsolète. Les systèmes affectés sont ceux où les passerelles de sécurité ne requièrent pas de certificat machine pour les connexions et acceptent les clients d'accès à distance hérités. **Check Point**, la société israélienne de cybersécurité, a publié des mises à jour de sécurité pour corriger la **CVE-2026-50751** lundi. La société a noté que l'exploitation a commencé le 7 mai et a connu une augmentation significative au cours du week-end dernier. Bien que l'exploitation observée ait été limitée à "quelques dizaines" d'organisations dans le monde, **Check Point** a confirmé au moins un incident directement lié à l'opération **Qilin Ransomware-as-a-Service (RaaS)**. **Qilin** a été très actif, revendiquant plus de 400 victimes sur son site de fuite sur le dark web depuis son apparition en août 2022. "À ce jour, l'exploitation observée a été limitée à quelques dizaines d'organisations ciblées dans le monde. Un cas impliquait une activité post-compromission confirmée associée à un affilié de **Qilin ransomware**", a déclaré **Check Point**. "Les clients utilisant le protocole d'échange de clés **IKEv1** sont fortement encouragés à appliquer immédiatement les mises à jour de sécurité disponibles." Pour les organisations incapables de patcher immédiatement, **Check Point** a fourni des mesures d'atténuation. Celles-ci incluent la suppression de la prise en charge du client d'accès à distance hérité, la configuration des propriétés globales de l'authentification VPN d'accès à distance sur **IKEv2** uniquement, l'activation de l'**IPS** et le téléchargement des signatures pertinentes, et la configuration de l'authentification par certificat machine comme obligatoire. ## Les Fédéraux Doivent Patché Avant le 11 Juin La **CISA** a ajouté hier la **CVE-2026-50751** à son **Catalogue des Vulnérabilités Connues Exploitées (KEV)**. Cette addition oblige les agences du pouvoir exécutif civil fédéral (**FCEB**) à sécuriser leurs appareils affectés d'ici le 11 juin, conformément à la **Directive Opérationnelle Contraignante (BOD) 22-01**. "Ce type de vulnérabilité est un vecteur d'attaque fréquent pour les acteurs malveillants et présente des risques importants pour l'entreprise fédérale", a remarké la **CISA**. L'agence a en outre conseillé : "Appliquez les mesures d'atténuation conformément aux instructions du fournisseur, suivez les directives applicables de la **BOD 22-01** pour les services cloud, ou cessez d'utiliser le produit si les mesures d'atténuation ne sont pas disponibles." Bien que la **BOD 22-01** cible principalement les agences fédérales américaines, la **CISA** a fortement exhorté toutes les équipes de sécurité, y compris celles du secteur privé, à déployer les correctifs pour la **CVE-2026-50751** et à renforcer leurs réseaux sans délai. Ce n'est pas la première fois que les vulnérabilités de **Check Point** attirent l'attention de la **CISA**. Deux ans auparavant, la **CVE-2024-24919** dans les **Quantum Security Gateways de Check Point** avait également été signalée comme étant activement exploitée par des groupes de ransomware, spécifiquement liée à des attaques de **NailaoLocker ransomware**.