Check Point, Remote Access VPN ve Mobile Access çözümlerinde kritik bir güvenlik açığı bulunduğunu ve bu açığın Qilin fidye yazılımı grubu tarafından aktif olarak istismar edildiğini açıkladı. CVE-2026-50751 olarak izlenen bu sıfırıncı gün açığı, kullanımdan kaldırılmış IKEv1 anahtar değişim protokolünü kullanan yapılandırmaları etkiliyor. Güvenlik firması, 8 Haziran'da yayınladığı bir raporda, Qilin fidye yazılımı grubuna bağlı bir aktörün bu açığı 'saldırı sonrası faaliyetlerde' kullandığını belirtti.
Açık, saldırganların uzaktan erişim VPN bağlantıları için kullanıcı kimlik doğrulamasını atlamasına olanak tanıyor. Check Point, 'Bir saldırgan, Remote Access ve Mobile Access sertifika doğrulamasındaki bir mantık akışı zayıflığını kullanarak kullanıcı kimlik doğrulamasını atlayabilir ve geçerli bir kullanıcı şifresi olmadan uzaktan erişim VPN bağlantısı kurabilir' dedi. Şirket, bu güvenlik açığının vahşi ortamda aktif olarak istismar edildiğini doğruladı.
CVE-2026-50751, 7 Mayıs'tan bu yana istismar ediliyor olsa da, saldırı girişimlerinin Haziran başında arttığı bildirildi. Check Point, 4 Haziran'da bir soruşturma başlattı ve şu ana kadar saldırıların küresel çapta 'birkaç düzine hedeflenmiş kuruluşla' sınırlı kaldığını belirtti. Qilin fidye yazılımı grubunun bu açığı kullanarak maddi kazanç sağlamayı hedeflediği ve aynı altyapıyı Palo Alto Networks, Fortinet ve F5 gibi diğer VPN ürünlerindeki açıkları istismar etmek için de kullandığı değerlendiriliyor.
Uzmanların Görüşleri
Saldırganların, Kaupo Cloud HK, Shock Hosting ve Vultr Holdings gibi sağlayıcılardan kiraladıkları özel sanal özel sunucular (VPS) kullandıkları tespit edildi. Check Point, bu tehdit aktörünün altyapısının diğer VPN güvenlik açıklarını da istismar ettiğini belirterek, kurumların yalnızca kendi ürünlerini değil, tüm VPN çözümlerini güncellemeleri gerektiğini vurguladı.
Check Point, CVE-2026-50751'i araştırırken ikinci bir güvenlik açığı daha keşfetti. CVE-2026-50752 olarak izlenen bu açık, CVSS puanı 7.4 ile 'yüksek' önem derecesine sahip. Kullanımdan kaldırılmış IKEv1 anahtar değişim protokolündeki sertifika doğrulama zafiyetinden kaynaklanan bu açık, belirli koşullar altında site-to-site VPN iletişimlerinde ortadaki adam (MitM) saldırılarına olanak tanıyabiliyor. Check Point, bu açığın henüz vahşi ortamda istismar edilmediğini ancak müşterilerin olası risklere karşı güncellemeleri uygulaması gerektiğini belirtti.
Check Point, etkilenen tüm ürünler için yayınlanan acil yamaların (hotfix) bir an önce uygulanmasını öneriyor. Kurumların, özellikle Remote Access VPN ve Mobile Access çözümlerini kullanıyorsa, IKEv1 protokolünü devre dışı bırakmaları ve güncel güvenlik yamalarını yüklemeleri kritik önem taşıyor. Ayrıca, VPN bağlantılarında çok faktörlü kimlik doğrulama (MFA) kullanılması, olası bir istismar durumunda ek bir güvenlik katmanı sağlayabilir.
Bu olay, siber güvenlik uzmanlarının eski protokolleri ve kullanımdan kaldırılmış özellikleri sistemlerden temizlemesi gerektiğini bir kez daha hatırlatıyor. IKEv1 gibi eski protokoller, günümüz tehdit ortamında ciddi güvenlik riskleri oluşturabiliyor. Kurumların, VPN ve uzaktan erişim altyapılarını düzenli olarak güvenlik açığı taramalarına tabi tutması, güncellemeleri takip etmesi ve şüpheli aktiviteleri izlemesi hayati önem taşıyor.
Kaynak: infosecurity-magazine.com