Critical Check Point VPN Flaw Exploited to Bypass Passwords in IKEv1 Setups

Exploitation active de la faille critique des VPN Check Point

Check Point a identifié une vulnérabilité critique activement exploitée ciblant ses passerelles VPN utilisant le protocole obsolète IKEv1. Cette faille permet à des attaquants distants non authentifiés de contourner la saisie du mot de passe pour établir une connexion VPN. Les cyberattaquants, liés à des groupes de ransomware comme Qilin, utilisent cette brèche pour accéder aux réseaux internes, souvent en s’appuyant sur des infrastructures serveurs (VPS) localisées géographiquement près des cibles.

Points clés :

• Vulnérabilité active : Des signes d’exploitation ont été détectés dès mai 2026, ciblant quelques dizaines d’organisations.
• Mode opératoire : Les attaquants utilisent des serveurs VPS locaux pour paraître légitimes et déploient des fichiers malveillants de type ELF après l’accès initial.
• Second risque : Une vulnérabilité secondaire (CVE-2026-50752) a été découverte, exposant les connexions VPN de site à site à des attaques de type « Adversary-in-the-Middle ».

Vulnérabilités :

• CVE-2026-50751 (Score CVSS 9.3) : Défaut de logique dans la validation des certificats permettant le contournement de l’authentification utilisateur via IKEv1.
• CVE-2026-50752 (Score CVSS 7.4) : Risque d’attaque de type « Adversary-in-the-Middle » sur les VPN site-à-site.

Recommandations :

• Installation de correctifs : Appliquer immédiatement les correctifs fournis par Check Point pour les versions affectées des passerelles de sécurité et des pare-feux Spark (voir les détails techniques dans les avis de support officiels).
• Désactivation d’IKEv1 : Abandonner l’utilisation du protocole IKEv1, obsolète, au profit de standards sécurisés.
• Renforcement des accès : Exiger systématiquement des certificats machine pour toute connexion VPN si l’architecture le permet, afin de limiter la surface d’attaque.

Source