Check Point VPN : le bypass d'auth IKEv1, saison 2 du contournement en bordure

Le contexte

C'est le jumeau parfait du dossier PAN-OS GlobalProtect : un bypass d'authentification sur un équipement VPN exposé en bordure, exploité avant même le correctif. CVE-2026-50751 touche les déploiements Check Point Remote Access VPN et Mobile Access configurés avec le protocole d'échange de clés IKEv1 (déprécié). CWE-287, CVSS 9.3.

L'exploitation est confirmée active depuis au moins le 7 mai 2026, soit plus d'un mois avant la publication du correctif par l'éditeur. Check Point Research a relié au moins un cas à une activité post-compromission attribuée à un affilié du ransomware Qilin. La CVE a été ajoutée au catalogue CISA KEV (échéance de remédiation fédérale au 11 juin).

La mécanique

Un attaquant distant non authentifié exploite une faille de flux logique dans la validation des certificats Remote Access / Mobile Access pendant l'échange IKEv1, et établit une connexion VPN sans mot de passe utilisateur valide.

La racine du problème se situe dans le traitement du payload Vendor ID VPNExtFeatures lors de l'échange IKEv1 : la passerelle lit quatre octets de fin de ce payload fourni par le client et les écrit directement dans un registre de drapeau d'authentification. L'attaquant « coche » donc lui-même la case « authentifié » : d'où la formule de watchTowr, « marking your own homework ».

Le résultat est l'établissement d'un accès distant non autorisé dans le réseau interne, exactement le scénario qu'un opérateur de ransomware recherche pour son accès initial.

Remédiation

1. Appliquer immédiatement le hotfix publié par Check Point (cf. sk185033) pour votre version de déploiement. Priorité absolue : la faille est exploitée et au KEV.
2. Mitigations si le patch ne peut pas être appliqué tout de suite (recommandations éditeur) :
   • basculer l'authentification Remote Access VPN sur IKEv2 uniquement dans les Global Properties,
   • rendre obligatoire l'authentification par certificat machine,
   • retirer le support du client d'accès distant hérité,
   • activer l'IPS et télécharger les signatures correspondantes.
3. Abandonner IKEv1 : le protocole est déprécié. Cet incident est une raison de plus de finaliser la migration vers IKEv2.

Chasse à la compromission

La CVE étant exploitée depuis début mai, présumer la compromission pour tout déploiement IKEv1 exposé sans patch ni mitigation. Rechercher :

• des sessions VPN établies sans événement d'authentification réussie corrélé ;
• des connexions depuis des IP / géolocalisations inhabituelles ;
• des payloads IKEv1 anormaux (Vendor ID VPNExtFeatures forgé) dans les journaux ;
• toute activité post-compromission de type Qilin (reconnaissance AD, déploiement d'outils, mouvement latéral) en aval d'un accès VPN.

Ce qu'il faut retenir

Un équipement de périmètre qui laisse le client écrire lui-même son drapeau d'authentification, c'est la définition même du bypass. Exposé sur Internet, exploité avant le patch, relié à un ransomware : urgence immédiate.

Pour les RSSI et équipes réseau :

• Patch immédiat (KEV, échéance 11 juin) et bascule IKEv2 + certificat machine obligatoire.

• Présumez la compromission si exposé sans mitigation depuis mai : chasse aux IoC et rotation des accès.

• Le périmètre reste la première cible : VPN, pare-feu et passerelles concentrent les bypass d'auth de 2026. Inventoriez et durcissez en priorité tout ce qui répond depuis Internet.

• Kreomnis