Check Point, Remote Access VPN ve Mobile Access çözümlerinde kritik bir sıfırıncı gün güvenlik açığının aktif olarak istismar edildiğini duyurdu. CVE-2026-50751 olarak izlenen bu açık, kullanımdan kaldırılan IKEv1 anahtar değişim protokolünü kullanan yapılandırmaları etkiliyor. Güvenlik şirketi, 8 Haziran'da yaptığı açıklamada, Qilin fidye yazılımı grubunun bir üyesinin bu açığı 'sömürü sonrası faaliyetlerde' kullandığını belirtti.
Check Point, saldırganın kullanıcı kimlik doğrulamasını atlayarak geçerli bir kullanıcı şifresi olmadan uzaktan erişim VPN bağlantısı kurabildiğini açıkladı. Açık, 7 Mayıs'tan beri istismar ediliyor ancak Haziran başında girişimler arttı. Şirket, 4 Haziran'da soruşturma başlattı ve saldırıların şimdiye kadar küresel çapta 'birkaç düzine hedefli kuruluş' ile sınırlı kaldığını belirtti.
Check Point, sömürü sonrası faaliyetlere dayanarak, CVE-2026-50751 açığını kullanan aktörün finansal motivasyonlu olduğunu ve Qilin fidye yazılımını kullandığını değerlendiriyor. Ayrıca, bu tehdit aktörünün Palo Alto, Fortinet ve F5 gibi diğer VPN açıklarını da istismar eden bir altyapı kullandığına inanılıyor. Saldırılarda Kaupo Cloud HK, Shock Hosting ve Vultr Holdings gibi sağlayıcılardan kiralanan özel sanal sunucular (VPS) kullanıldı.
Check Point, CVE-2026-50751'i araştırırken bir başka güvenlik açığı daha keşfetti. CVE-2026-50752, 7.4 puanla derecelendirilen bu açık, kullanımdan kaldırılan IKEv1 anahtar değişiminde sertifika doğrulamasını etkiliyor ve belirli koşullar altında site-to-site VPN iletişimlerinde ortadaki adam saldırısına izin verebiliyor. Şu anda bu açığın istismar edildiğine dair bir kanıt bulunmuyor ancak müşterilerin olası maruziyeti azaltmak için güncellemeleri uygulamaları öneriliyor.