Check Point VPN sotto attacco: la CVE-2026-50751 è già sfruttata in rete, hotfix disponibili
La vulnerabilità CVE-2026-50751 rappresenta una minaccia concreta e immediata per le organizzazioni che espongono servizi VPN Check Point configurati con il protocollo IKEv1, oggi deprecato ma ancora presente in diversi ambienti legacy o non ancora bonificati.
Il caso è particolarmente rilevante perché Check Point ha confermato lo sfruttamento attivo in rete e ha pubblicato hotfix urgenti, mentre ACN Italia ha rilanciato l’allerta come indicatore di priorità operativa per i difensori.
Cosa è successo
Check Point ha comunicato che la CVE-2026-50751 consente a un attaccante remoto non autenticato di bypassare l’autenticazione utente nelle componenti Remote Access VPN e Mobile Access, se queste utilizzano il key exchange IKEv1.
Il problema nasce da una debolezza logica nella validazione dei certificati durante il flusso di autenticazione, permettendo l’apertura di una sessione VPN senza possedere una password valida.
Secondo il fornitore, l’attività malevola è osservata almeno dal 7 maggio 2026 e ha mostrato un’accelerazione nei primi giorni di giugno.
Check Point ha inoltre collegato con severiti media almeno un caso di post-compromise a un affiliato del ransomware Qilin, elemento che alza notevolmente il rischio percepito lato business e continuità operativa.
Prodotti e versioni impattate
L’impatto non riguarda genericamente tutta la gamma Check Point, ma in modo specifico i deployment che usano IKEv1 nelle funzioni di Remote Access VPN, Mobile Access e in parte i prodotti Spark Firewall.
Le versioni coinvolte comprendono sia rami supportati sia versioni ormai fuori supporto, il che rende il tema ancora più critico per chi non ha completato i piani di refresh tecnologico.
| Prodotto o linea | Versioni impattate | Note operative |
| Security Gateways / Remote Access VPN / Mobile Access | R80.20.X, R80.40, R81, R81.10, R81.10.X, R81.20, R82, R82.00.X, R82.10 | Diverse release risultano End of Support, aumentando il rischio di esposizione residua |
| Spark Firewall | R81 precedenti a R81.10.17; R82 precedenti a R82.00.10 | Coinvolti soprattutto scenari SMB/MSP con configurazioni legacy |
| Security Gateway con Jumbo Hotfix | R82.10 Take 19 o inferiori, R82 Take 103 o inferiori, R81.20 Take 141 o inferiori | Valutazione utile per accelerare la verifica lato operations |
Principali criticità
La severità tecnica della CVE-2026-50751 è elevata: NVD la descrive come una vulnerabilità che permette a un attaccante non autenticato di stabilire una connessione VPN remota senza credenziali valide, con CVSS 9.3 CRITICAL.
Il punto più delicato, però, non è solo il punteggio, ma il fatto che la falla interessa un asset perimetrale che, se compromesso, può trasformarsi in porta d’ingresso verso la rete interna.
Dal punto di vista difensivo, le criticità principali sono quattro:
- Colpisce sistemi di accesso remoto esposti a Internet, quindi con superficie di attacco elevata.
- Richiede la presenza di IKEv1, protocollo deprecato ma ancora diffuso in configurazioni non bonificate o compatibili con client legacy.
- Esistono già evidenze di sfruttamento attivo e almeno un collegamento con dinamiche ransomware.
- Coinvolge anche release fuori supporto, dove spesso la gestione del rischio è più lenta e costosa.
Altra CVE collegata
Nel medesimo contesto Check Point ha anche pubblicato la CVE-2026-50752, descritta come una vulnerabilità di certificate validation nel protocollo IKEv1 che può consentire un attacco Man-in-the-Middle su scenari VPN site-to-site.
Al momento non risulta sfruttata attivamente come la 50751, ma resta una vulnerabilità ad alto rischio e rafforza il messaggio strategico: IKEv1 va considerato un debito tecnico da rimuovere con urgenza.
| CVE | Descrizione sintetica | Stato | Rimedio |
| CVE-2026-50751 | Authentication bypass su Remote Access VPN e Mobile Access via IKEv1 | Sfruttata attivamente in rete | Hotfix immediato, dismissione IKEv1, verifica IOC |
| CVE-2026-50752 | Possibile Man-in-the-Middle su VPN site-to-site in IKEv1 | Nessuna exploitation pubblica confermata al momento | Hotfix e migrazione operativa a configurazioni più moderne |
Patch e mitigazioni da attuare subito
Check Point ha rilasciato hotfix ufficiali per entrambe le vulnerabilità e raccomanda l’aggiornamento immediato dei gateway e dei firewall impattati.
In parallelo, il vendor suggerisce mitigazioni compensative per chi non può patchare subito, ma queste non dovrebbero essere considerate sostitutive dell’update.
Le azioni prioritarie sono:
- Applicare gli hotfix ufficiali Check Point relativi alle advisory sk185033 per CVE-2026-50751 e sk185035 per CVE-2026-50752.
- Disabilitare IKEv1 e forzare IKEv2 dove tecnicamente possibile.
- Rimuovere il supporto ai client legacy Remote Access che richiedono configurazioni deboli o retrocompatibili.
- Rendere obbligatorio il “machine certificate” per la connessione, se compatibile con l’architettura in uso.
- Abilitare IPS e aggiornare le signature per migliorare la capacità di intercettare tentativi di sfruttamento e attività correlate.
- Avviare un controllo forense e di logging retroattivo almeno dal 7 maggio 2026, data più antica indicata dal vendor come inizio dell’exploitation osservata.
Indicazione vCISO
In ottica vCISO, questa vulnerabilità va classificata come evento di rischio alto o critico perché combina quattro fattori: esposizione Internet, bypass dell’autenticazione, sfruttamento attivo e potenziale impatto su accesso iniziale alla rete aziendale.
Non si tratta quindi di un semplice aggiornamento tecnico, ma di una misura urgente di riduzione del rischio cyber con possibili impatti su compliance, business continuity, protezione dei dati e responsabilità del management.
Le organizzazioni dovrebbero trattare il caso come segue:
- Priorità immediata nei processi di vulnerability management e patch management per tutti i sistemi perimetrali Check Point.
- Verifica puntuale dell’esposizione reale, distinguendo tra gateway vulnerabili, gateway mitigati e gateway già aggiornati.
- Escalation verso IT management e direzione security se sono ancora presenti release EOS o dipendenze da IKEv1.
- Riesame del piano di accesso remoto, con riduzione delle eccezioni legacy e rafforzamento di MFA, logging e monitoraggio degli accessi VPN.
Fonti ufficiali da citare nell’articolo
Per un articolo affidabile e SEO-friendly è utile richiamare fonti istituzionali e del fornitore, privilegiando sempre i riferimenti primari. CheckPoint
- ACN Italia: alert ufficiale sullo sfruttamento attivo della CVE-2026-50751 nei prodotti Check Point.
- Check Point Blog / Security Advisory: advisory del vendor con descrizione tecnica, impatto, IOC e hotfix.
- NIST NVD: scheda CVE-2026-50751 con classificazione e metadati di vulnerabilità.
- org / MITRE: record ufficiale CVE con descrizione sintetica e assegnazione della vulnerabilità.
- CISA KEV: inserimento della vulnerabilità nel catalogo Known Exploited Vulnerabilities, indicatore forte di priorità operativa.
