Qilin s'invite par le VPN : le zero-day Check Point IKEv1 exploité avant le patch

Le fait

Check Point Research a confirmé que la vulnérabilité CVE-2026-50751, un bypass d'authentification sur Remote Access VPN / Mobile Access en IKEv1, a été exploitée dans la nature depuis au moins le 7 mai 2026, soit plus d'un mois avant la publication du correctif. Au moins un cas présente une activité post-compromission attribuée à un affilié du ransomware Qilin. La faille est au catalogue CISA KEV (échéance de remédiation au 11 juin).

Pourquoi ça compte

C'est la trajectoire classique du rançongiciel moderne : l'accès initial par le VPN. Un équipement de bordure qui laisse un attaquant non authentifié ouvrir un tunnel dans le réseau interne, c'est la porte d'entrée rêvée pour déployer reconnaissance, vol de données et chiffrement.

Le détail technique fait mal : la passerelle lit quatre octets fournis par le client et les écrit directement dans son drapeau d'authentification. L'attaquant coche lui-même la case « authentifié ».

Ce que Kreomnis en pense

1. Le patch ne clôt pas l'incident. Exploitation active depuis début mai : tout déploiement IKEv1 exposé sans mitigation doit être présumé compromis. Patcher, oui, mais aussi chasser les IoC et faire tourner les accès.
2. IKEv1 doit disparaître. Le protocole est déprécié. Cet épisode est l'argument définitif pour finaliser la bascule IKEv2 + certificat machine obligatoire.
3. Le périmètre reste le front chaud de 2026. Après PAN-OS GlobalProtect et FortiClient EMS, Check Point : les bypass d'auth sur équipements VPN/pare-feu s'enchaînent. Inventoriez et durcissez en priorité tout ce qui répond depuis Internet.

L'analyse technique complète, mécanique et chasse à la compromission : notre fiche CVE-2026-50751.

Source : BleepingComputer : Check Point links VPN zero-day attacks to Qilin ransomware gang, avis Check Point sk185033, Rapid7.