Les organisations qui ont retardé le retrait de l’ancien protocole VPN IKEv1 sont désormais confrontées à une faille de contournement d’authentification activement exploitée qui, selon Check Point, a déjà été exploitée dans des attaques liées aux ransomwares.
Check Point a publié des correctifs d’urgence pour deux vulnérabilités affectant les déploiements VPN qui utilisent toujours le protocole obsolète Internet Key Exchange version 1 (IKEv1), avertissant que l’une des failles est déjà exploitée dans la nature.
Le problème le plus grave permet aux attaquants d’établir des sessions VPN sans mot de passe valide, ce qui leur permet potentiellement de prendre pied dans les réseaux d’entreprise. Selon la société, les attaquants exploitent cette vulnérabilité depuis au moins début mai, avec une activité qui s’est accélérée ces dernières semaines.
« À ce jour, l’exploitation observée s’est limitée à quelques dizaines d’organisations ciblées dans le monde », a déclaré Lotem Finkelstein, vice-président de la recherche chez Check Point, dans un article de blog sur la sécurité. « Un cas impliquait une activité post-compromise confirmée associée à une filiale du ransomware Qilin. »
Les vulnérabilités affectent les clients utilisant Remote Access VPN, Mobile Access VPN et certains produits Spark Firewall configurés pour IKEv1.
Bien que ledit protocole soit considéré comme une technologie héritée depuis des années, il reste activé dans certains environnements pour des raisons de compatibilité. Check Point exhorte les clients concernés à appliquer immédiatement les correctifs récemment publiés et, si possible, à migrer d’IKEv1 vers le nouveau protocole IKEv2.
Le protocole obsolète est devenu un risque actif
Le bogue exploité, suivi comme CVE-2026-50571, affecte les déploiements qui continuent d’accepter les connexions d’accès à distance basées sur IKEv1.
Selon Check Point, les attaquants peuvent exploiter une erreur logique dans la façon dont les composants d’accès à distance et d’accès mobile valident les certificats pendant le processus d’authentification. L’exploitation permet à un attaquant non authentifié d’établir une connexion VPN sans fournir de mot de passe utilisateur valide.
Bien que des étapes supplémentaires puissent être nécessaires pour accéder aux ressources internes ou élever les privilèges, les chercheurs en sécurité notent que le contournement de la barrière de connexion VPN permet aux attaquants de prendre pied de manière significative dans les environnements ciblés.
La vulnérabilité a été placée sous la catégorie « Authentification incorrecte » CWE étiquetée CWE-287, avec un score CVSS de 9,3 qui lui est attribué. Les versions de la plate-forme logicielle Check Point Quantum concernées, qui s’exécutent sur le système d’exploitation Gaia qui alimente tous les produits Check Point, incluent R80.20.X (EOS), R80.40 (EOS), R81 (EOS), R81.10 (EOS), R81.10.X, R81.20, R82, R82.00.X, R82.10.
La deuxième vulnérabilité, CVE-2026-50752, est apparue lors d’un examen de sécurité plus large mené dans le cadre de l’enquête de Check Point sur la faille d’authentification inappropriée. Les chercheurs auraient utilisé la plateforme de sécurité des applications agentiques BLAST de la société pour analyser les composants VPN concernés, conduisant à la découverte de faiblesses supplémentaires dans la logique de validation des certificats.
Contrairement au CVE-2026-50571, le problème nouvellement identifié ne permet pas le contournement direct de l’authentification. Au lieu de cela, cela pourrait permettre à un attaquant de type « man-in-the-middle » d’interférer avec les communications VPN de site à site si des conditions spécifiques sont remplies.
Cette faille a reçu un score CVSS de 7,4, et aucune tentative d’exploitation n’a encore été observée dans la nature.
Atténuations et correctifs publiés
Les organisations concernées ont reçu un ensemble de solutions pour résoudre le problème, en commençant par une technique de détection des attaques.
« Recherchez dans vos journaux Check Point SmartConsole d’éventuelles tentatives d’authentification de certificat VPN associées à l’infrastructure de l’attaquant observée et aux noms de sujets de certificat », a déclaré Check Point dans un avis partageant les requêtes SmartConsole pour les analyses autour de la plage de temps, de l’adresse IP de l’attaquant et des activités VPN/IKE.
De plus, la société a répertorié trois conseils d’atténuation pour la protection en dehors et au-delà des correctifs. Celles-ci incluent la suppression de la prise en charge des anciennes connexions client d’accès à distance, la configuration des propriétés globales pour l’authentification VPN d’accès à distance sur IKEv2 uniquement et la définition de l’authentification par certificat de machine comme obligatoire. Enfin, et c’est le plus efficace, la société a publié une série de correctifs téléchargeables correspondant à chaque version concernée, que les clients peuvent télécharger et appliquer pour une protection complète et immédiate.
