• Home page
  • News
  • Falla critica nelle VPN Check Point sfruttata dai ransomware.

Dettaglio News

Falla critica nelle VPN Check Point sfruttata dai ransomware.

Una vulnerabilità critica nelle VPN Check Point è stata sfruttata attivamente da gruppi ransomware per ottenere accessi non autorizzati alle reti aziendali senza l'utilizzo di credenziali valide. Scopri i dettagli della falla, i rischi per le organizzazioni e le misure di mitigazione raccomandate dagli esperti di sicurezza. 

Check Point: scoperta una vulnerabilità critica nelle VPN: accessi senza password e legami con campagne ransomware

Una nuova minaccia per le infrastrutture VPN aziendali

Le reti private virtuali continuano a rappresentare uno degli obiettivi preferiti dei cybercriminali. L'ultimo allarme arriva da Check Point, che ha recentemente corretto una vulnerabilità critica presente nei propri gateway VPN e già sfruttata attivamente da attaccanti per ottenere accessi non autorizzati alle reti aziendali.

La falla, identificata come CVE-2026-50751 e classificata con un punteggio CVSS di 9.3, consente a un aggressore remoto di stabilire una connessione VPN senza dover conoscere credenziali valide. In pratica, il meccanismo di autenticazione può essere aggirato in particolari configurazioni, permettendo agli attaccanti di entrare nell'infrastruttura come utenti apparentemente legittimi.

Il problema coinvolge il protocollo IKEv1

L'origine della vulnerabilità è stata individuata nel protocollo IKEv1 (Internet Key Exchange Version 1), una tecnologia utilizzata per la negoziazione delle connessioni VPN IPsec e considerata ormai superata rispetto alle soluzioni più moderne.

Secondo le analisi tecniche, una gestione non corretta del processo di validazione dei certificati consente di bypassare alcuni controlli di sicurezza e ottenere l'accesso alla VPN senza autenticazione tradizionale.

Non tutte le installazioni risultano vulnerabili. Perché l'attacco possa avere successo devono infatti verificarsi specifiche condizioni operative, tra cui:

  • utilizzo del protocollo IKEv1;
  • supporto per client VPN legacy;
  • assenza dell'obbligo di autenticazione tramite certificato del dispositivo;
  • configurazioni compatibili con modalità di accesso meno restrittive.

Le organizzazioni che hanno già migrato verso IKEv2 e adottato sistemi di autenticazione più rigorosi risultano significativamente meno esposte.

Attacchi osservati nel mondo reale

Uno degli aspetti più preoccupanti della vicenda è che la vulnerabilità non è rimasta confinata all'ambito teorico o ai laboratori di ricerca. Gli esperti hanno infatti rilevato attività di sfruttamento reale già a partire dai primi giorni di maggio 2026.

Le indagini hanno evidenziato una serie di compromissioni che hanno interessato organizzazioni distribuite in diversi Paesi. Sebbene il numero complessivo di vittime identificate sia relativamente contenuto, la presenza di attacchi concreti dimostra come i cybercriminali abbiano rapidamente compreso il valore strategico della vulnerabilità.

L'accesso iniziale ottenuto attraverso la VPN rappresenta infatti una porta d'ingresso privilegiata per successive attività malevole, tra cui:

  • movimento laterale nella rete;
  • raccolta di informazioni sensibili;
  • furto di credenziali;
  • compromissione di server e workstation;
  • distribuzione di malware e ransomware.

Il collegamento con il ransomware Qilin

Durante le attività di analisi, i ricercatori hanno individuato elementi che collegano almeno una delle compromissioni al gruppo ransomware Qilin, una delle organizzazioni criminali più attive nel panorama delle estorsioni digitali.

La presenza di indicatori riconducibili a questa gang suggerisce che la vulnerabilità sia stata sfruttata non soltanto per attività di accesso abusivo, ma anche come punto di partenza per operazioni più strutturate finalizzate alla cifratura dei dati e alla successiva richiesta di riscatto.

Questo conferma una tendenza ormai consolidata nel cybercrime moderno: le vulnerabilità VPN rappresentano uno dei principali vettori di accesso utilizzati dagli operatori ransomware per penetrare nelle reti aziendali.

Una infrastruttura utilizzata anche contro altri vendor

Le informazioni raccolte dagli analisti indicano inoltre che l'infrastruttura impiegata dagli attaccanti potrebbe avere una portata più ampia rispetto alle sole campagne contro Check Point.

Secondo le valutazioni degli esperti, gli stessi sistemi potrebbero essere stati utilizzati per individuare e sfruttare vulnerabilità presenti in altre piattaforme VPN diffuse nel mercato enterprise, tra cui le soluzioni sviluppate da Palo Alto Networks, Fortinet e F5.

Questo elemento suggerisce l'esistenza di attività coordinate e mirate contro diversi produttori di tecnologie per l'accesso remoto, con l'obiettivo di massimizzare le opportunità di compromissione attraverso un'unica infrastruttura operativa.

Trovate tracce del protocollo Tox

Nel corso delle investigazioni è emerso anche un ulteriore dettaglio particolarmente interessante: la presenza del protocollo Tox all'interno dell'infrastruttura osservata.

Tox è una piattaforma di comunicazione decentralizzata che consente lo scambio di messaggi e file senza dipendere da server centrali. Proprio per queste caratteristiche viene frequentemente utilizzata da gruppi cybercriminali e operatori ransomware per coordinare attività operative e mantenere canali di comunicazione difficili da monitorare.

Sebbene la presenza di Tox non costituisca una prova definitiva dell'identità degli attaccanti, rappresenta un ulteriore indicatore che rafforza l'ipotesi di un coinvolgimento di attori particolarmente organizzati e specializzati nelle operazioni ransomware.

Scoperta anche una seconda vulnerabilità

Durante le verifiche di sicurezza è stata identificata una seconda falla, catalogata come CVE-2026-50752 e valutata con un punteggio CVSS di 7.4.

Anche questa vulnerabilità interessa il protocollo IKEv1 e potrebbe consentire attacchi di tipo Man-in-the-Middle nelle connessioni VPN site-to-site, permettendo potenzialmente a un aggressore di intercettare o manipolare il traffico tra sedi collegate.

Al momento non risultano evidenze di sfruttamento attivo di questa seconda vulnerabilità, ma gli esperti raccomandano di applicare ugualmente le correzioni disponibili.

Le contromisure raccomandate

Check Point ha distribuito gli aggiornamenti di sicurezza necessari e invita tutte le organizzazioni interessate a procedere tempestivamente con l'installazione delle patch.

Oltre agli aggiornamenti, vengono suggerite alcune misure di mitigazione per ridurre il rischio di compromissione:

  • disabilitare il protocollo IKEv1 dove possibile;
  • migrare verso IKEv2;
  • eliminare il supporto ai client legacy;
  • imporre l'autenticazione tramite certificati del dispositivo;
  • aggiornare le firme IPS e i sistemi di rilevamento;
  • monitorare costantemente gli indicatori di compromissione;
  • verificare i log VPN alla ricerca di accessi anomali.

Un promemoria sull'importanza delle tecnologie aggiornate

L'incidente evidenzia ancora una volta i rischi associati al mantenimento di protocolli e configurazioni legacy all'interno delle infrastrutture aziendali. Anche quando una vulnerabilità interessa soltanto specifici scenari di configurazione, la sua disponibilità pubblica e il rapido interesse mostrato dai gruppi ransomware possono trasformarla in una minaccia concreta nel giro di pochi giorni.

Per le aziende che utilizzano soluzioni VPN, questo caso rappresenta un'importante occasione per riesaminare le proprie configurazioni di accesso remoto, eliminare le tecnologie obsolete e rafforzare i controlli di autenticazione prima che una vulnerabilità diventi il punto di ingresso di un attacco più esteso.

FONTE: Red Hot Cyber