Check Point, Remote Access VPN ve Mobile Access çözümlerinde kritik bir güvenlik açığının aktif olarak istismar edildiğini duyurdu. CVE-2026-50751 olarak izlenen bu açık, artık kullanılmayan IKEv1 anahtar değişim protokolünü kullanan yapılandırmaları etkiliyor. Şirket, 8 Haziran'da yaptığı açıklamada, Qilin fidye yazılımı grubunun bir üyesinin bu açığı 'saldırı sonrası faaliyetlerde' kullandığını belirtti.
Check Point, saldırganın, Remote Access ve Mobile Access sertifika doğrulamasındaki bir mantık akışı zayıflığından yararlanarak geçerli bir kullanıcı şifresi olmadan VPN bağlantısı kurabildiğini açıkladı. Açık, 7 Mayıs'tan beri istismar ediliyor olsa da, saldırı girişimleri Haziran başında arttı. Şirket, 4 Haziran'da soruşturma başlattı ve saldırıların şimdilik küresel çapta 'birkaç düzine hedefli kuruluş' ile sınırlı kaldığını bildirdi.
Check Point, saldırganın altyapısının Qilin fidye yazılımı kullandığını ve finansal motivasyonlu olduğunu orta güvenle değerlendiriyor. Ayrıca bu tehdit aktörünün Palo Alto, Fortinet ve F5 gibi diğer VPN güvenlik açıklarını da istismar ettiği düşünülüyor. Saldırganlar, Kaupo Cloud HK, Shock Hosting ve Vultr Holdings gibi sağlayıcılardan kiraladıkları özel VPS altyapısını kullanıyor.
Check Point, CVE-2026-50751'i araştırırken bir başka güvenlik açığı daha keşfetti. CVE-2026-50752 olarak izlenen bu açık, 7.4 CVSS puanına sahip ve henüz aktif olarak istismar edilmiyor. Açık, artık kullanılmayan IKEv1 anahtar değişiminde sertifika doğrulamasını etkiliyor ve belirli koşullar altında site-to-site VPN iletişimlerine ortadaki adam müdahalesine izin verebiliyor. Check Point, müşterilerini tüm etkilenen ürünleri yayınlanan yamalarla güncellemeye çağırıyor.