Zero-day Check Point: Qilin sfrutta la falla CVE-2026-50751

Una vulnerabilità critica di authentication bypass nei prodotti di accesso remoto Check Point, già usata in attacchi reali, ha spinto la Cybersecurity and Infrastructure Security Agency statunitense a emettere un ordine vincolante con scadenza ravvicinata. Il caso, tracciato come CVE-2026-50751, unisce tre elementi che la redazione segue da vicino: un perimetro VPN esposto, un attore ransomware di primo piano e una risposta regolatoria d’emergenza.

Cosa è successo

Lunedì 8 giugno 2026 Check Point ha pubblicato l’advisory per CVE-2026-50751, una falla di tipo improper authentication (CWE-287) con punteggio CVSS pari a 9,3. Il difetto consente a un attaccante non autenticato di stabilire una sessione VPN senza credenziali valide, aggirando i controlli. Sono interessati i gateway Remote Access VPN, Mobile Access e Spark Firewall configurati con il protocollo di scambio chiavi IKEv1 deprecato, quando accettano client legacy e non richiedono un certificato macchina per la connessione.

Secondo il vendor lo sfruttamento è attivo: le prime tracce risalgono al 7 maggio 2026, con un’impennata nel primo fine settimana di giugno. La campagna resta, al momento, circoscritta ad alcune decine di organizzazioni nel mondo. Gli indicatori raccolti, hash condivisi tra i casi, uso del software open source Rclone per l’esfiltrazione, comunicazioni via protocollo Tox e infrastruttura VPS dedicata, hanno permesso a Check Point di collegare almeno un incidente a un affiliato del ransomware Qilin, attribuzione espressa con confidenza media; più ferma è invece la constatazione dell’attività ransomware seguita alla compromissione. Qilin resta uno degli ecosistemi ransomware as a service più attivi del 2026.

Durante l’indagine è emersa una seconda vulnerabilità correlata, CVE-2026-50752 (CVSS 7,4), nello stesso percorso di codice IKEv1: potrebbe abilitare un attacco man in the middle contro i tunnel site-to-site in configurazioni specifiche. Per quest’ultima non risultano sfruttamenti.

L’intervento di CISA

L’8 giugno 2026 CISA ha aggiunto CVE-2026-50751 al catalogo Known Exploited Vulnerabilities e ha imposto alle agenzie federali civili di applicare la patch o isolare i sistemi entro l’11 giugno 2026, una finestra di appena tre giorni. La binding operational directive vincola formalmente solo il governo statunitense, ma l’agenzia ha esteso la raccomandazione a tutti i team di sicurezza, settore privato incluso.

Perché conta

Il caso è significativo oltre il singolo incidente. Un authentication bypass su un concentratore VPN annulla la prima linea di difesa perimetrale e apre la strada a movimenti laterali e a una catena ransomware completa; non a caso il più recente Data Breach Investigations Report colloca per la prima volta lo sfruttamento delle vulnerabilità come primo vettore di accesso iniziale, al 31 per cento dei casi, in crescita di oltre la metà su base annua e trainato proprio dagli zero-day contro VPN ed edge device. La configurazione IKEv1 vulnerabile, inoltre, è frequente in installazioni datate e poco presidiate, proprio quelle più difficili da mappare in tempo utile. Per i responsabili sicurezza la priorità immediata è duplice: verificare se i gateway accettano IKEv1 con client legacy senza certificato macchina, e applicare gli aggiornamenti senza attendere la scadenza federale. La combinazione tra finestra di sfruttamento aperta da inizio maggio e coinvolgimento di un affiliato Qilin rende il rischio concreto anche per chi non rientra nel perimetro della direttiva.

Il contesto italiano

Qilin non è un nome astratto per l’Italia. Lo scorso marzo 2026 un attacco ransomware attribuito allo stesso ecosistema ha colpito Netalia, cloud provider genovese che gestisce i pagamenti digitali per il Comune di Genova, bloccando il sistema di riscossione delle sanzioni della polizia locale e costringendo l’amministrazione a prorogare le scadenze con riduzione del 30 per cento. Il precedente mostra come un singolo fornitore compromesso possa propagare il disservizio a un intero servizio pubblico; un gateway VPN bucato come quello descritto da CVE-2026-50751 offre allo stesso attore una via d’ingresso ancora più diretta verso reti aziendali e della Pubblica Amministrazione.

Condividi sui Social Network:

Zero-day nelle VPN Check Point: CISA impone la patch in tre giorni mentre Qilin sfrutta la falla

Cosa è successo

L’intervento di CISA

Perché conta

Il contesto italiano

Vulnerabilità Veeam Backup: una RCE critica espone l’ultima linea anti-ransomware

Migrazione post-quantum cryptography (PQC): guida per le imprese alla transizione post-quantum

Il worm Miasma colpisce Microsoft: quando il malware si esegue aprendo il repository nell’IDE con l’AI

Riforma ENISA: l’agenzia europea diventa il braccio operativo della cyber UE

Securing the Engine: vulnerabilità emergenti nelle architetture AI aziendali

Regolamentazione dell’intelligenza artificiale, un nuovo ordine esecutivo sui “modelli di frontiera”

La Prima Rivista Italiana Dedicata alla Sicurezza Informatica

ICT Security Magazine

Cosa è successo

L’intervento di CISA

Perché conta

Il contesto italiano

Ultimi Articoli

La Prima Rivista Italiana Dedicata alla Sicurezza Informatica

ICT Security Magazine

Argomenti

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE