CISA impone un parche exprés para un fallo crítico en la VPN de Check Point explotado por Qilin
La CISA ha incluido CVE-2026-50751 en su catálogo KEV por explotación activa y ha dado de plazo hasta el 11 de junio de 2026 para aplicar correcciones. El fallo permite eludir la autenticación en Check Point Remote Access VPN y Mobile Access cuando mantienen IKEv1 habilitado por compatibilidad.
La CISA ha activado el modo urgencia con Check Point: la agencia estadounidense ha metido CVE-2026-50751 en el catálogo KEV de vulnerabilidades explotadas y ha ordenado a las agencias federales que lo remedien antes del 11 de junio de 2026, un margen inusualmente corto. El movimiento no responde a un riesgo teórico. La explotación se ha observado en ataques reales y, al menos en un incidente, se ha vinculado la actividad posterior a la intrusión con un afiliado de ransomware Qilin, con una atribución de confianza media.
El problema afecta al perímetro, justo donde más duele. CVE-2026-50751 permite que un atacante remoto no autenticado se salte la autenticación y levante una sesión de VPN de acceso remoto. La condición clave aparece en despliegues de Check Point Remote Access VPN y Mobile Access que todavía aceptan IKEv1, un protocolo obsoleto que muchas organizaciones mantienen por compatibilidad con clientes antiguos. El escenario se agrava cuando el gateway admite clientes heredados y no exige certificado de máquina para conectar.
A nivel técnico, el fallo encaja en CWE-287 por autenticación incorrecta y alcanza una puntuación CVSS 9,3. La debilidad nace de una lógica defectuosa en la validación de certificados durante el intercambio IKEv1 en componentes de acceso remoto. Tras el bypass, el atacante aún necesita acciones adicionales para moverse por la red, acceder a recursos internos o escalar privilegios, pero la puerta de entrada queda abierta en un servicio expuesto.
La actividad se detecta desde, al menos, el 7 de mayo de 2026, con un repunte a principios de junio. Se describe como una campaña de alcance limitado, con varias decenas de organizaciones afectadas en distintos países, pero el patrón encaja con lo que más buscan hoy los grupos de extorsión: credenciales y sesiones en el borde para colarse sin levantar demasiadas alarmas.
Check Point publicó hotfixes el 8 de junio de 2026 para múltiples ramas, entre ellas R80.20.X, R80.40, R81, R81.10, R81.10.X, R81.20, R82, R82.00.X y R82.10. El detalle incómodo es que varias de esas ramas ya han llegado a fin de soporte, como R80.20.X, R80.40, R81 y R81.10, lo que complica el mantenimiento y reduce el margen de maniobra ante incidentes.
En paralelo, la compañía ha identificado CVE-2026-50752 con CVSS 7,4 en el mismo camino de código de IKEv1, potencialmente útil para ataques de tipo intermediario en túneles site to site bajo ciertas configuraciones, sin señales de explotación activa.
La lista de prioridades para equipos de seguridad es clara: aplicar ya los hotfix, desactivar IKEv1 y forzar IKEv2, retirar el soporte de cliente heredado cuando sea viable y obligar al certificado de máquina en las conexiones. También conviene activar IPS y actualizar firmas, además de auditar logs y cambios de configuración desde el 7 de mayo para detectar accesos anómalos y rastros de movimiento lateral. Incluso tras parchear, la recomendación operativa pasa por una búsqueda proactiva de compromiso, con especial atención a posibles mecanismos de persistencia y herramientas de exfiltración. Si la infraestructura sigue en ramas fuera de soporte, toca acelerar la migración a versiones mantenidas: en el perímetro, la deuda técnica se paga con intereses.
Más información
- SC Media – CISA adds Check Point VPN bug to list of exploited vulnerabilities : https://www.scworld.com/news/cisa-adds-check-point-vpn-bug-to-list-of-exploited-vulnerabilities
- Rapid7 – Critical Check Point VPN Zero-Day Exploited in the Wild (CVE-2026-50751) : https://www.rapid7.com/blog/post/etr-critical-check-point-vpn-zero-day-exploited-in-the-wild-cve-2026-50751/
La entrada CISA impone un parche exprés para un fallo crítico en la VPN de Check Point explotado por Qilin se publicó primero en Una Al Día.
Powered by WPeMatico
