CISA telah memerintahkan lembaga-lembaga pemerintah AS untuk mengamankan penerapan VPN Akses Jarak Jauh Check Point dan Akses Seluler terhadap kerentanan kritis yang dieksploitasi dalam serangan zero-day oleh afiliasi ransomware Qilin.
Penyerang jarak jauh yang tidak diautentikasi dapat mengeksploitasi kelemahan keamanan ini (dilacak sebagai CVE-2026-50751) untuk melewati autentikasi dan membuat koneksi VPN akses jarak jauh pada VPN Akses Seluler/SSL yang ditargetkan, VPN Akses Jarak Jauh, atau firewall Spark.
Kerentanan ini hanya memengaruhi instans yang dikonfigurasi untuk menggunakan protokol pertukaran kunci IKEv1 yang tidak digunakan lagi, dengan gateway keamanan yang tidak memerlukan sertifikat mesin untuk koneksi dan menerima klien Akses Jarak Jauh yang lama.
Perusahaan keamanan siber Israel, Check Point, dirilis pembaruan keamanan untuk mengatasi CVE-2026-50751 pada hari Senin, menandainya sebagai serangan yang dieksploitasi yang dimulai pada tanggal 7 Mei dan meningkat pada akhir pekan.
Meskipun serangan-serangan ini hanya menyebabkan pelanggaran pada “beberapa lusin” organisasi di seluruh dunia, Check Point telah mengaitkan setidaknya satu insiden dengan operasi Qilin Ransomware-as-a-Service (RaaS), yang telah memakan korban lebih dari 400 orang di situs kebocoran web gelapnya sejak muncul pada Agustus 2022.
“Sampai saat ini, eksploitasi yang diamati terbatas pada beberapa lusin organisasi yang ditargetkan secara global. Satu kasus melibatkan aktivitas pasca-kompromi yang dikonfirmasi terkait dengan afiliasi ransomware Qilin,” kata perusahaan tersebut. “Pelanggan yang menggunakan protokol pertukaran kunci IKEv1 sangat dianjurkan untuk segera menerapkan pembaruan keamanan yang tersedia.”
Check Point juga telah membagikan langkah-langkah mitigasi bagi mereka yang tidak dapat melakukan patch, menyarankan mereka untuk menghapus dukungan untuk klien akses jarak jauh yang lama, mengonfigurasi properti global untuk Otentikasi VPN Akses Jarak Jauh ke IKEv2 saja, mengaktifkan IPS dan mengunduh tanda tangan, dan mengonfigurasi Otentikasi Sertifikat Mesin sebagai wajib.
FBI memerintahkan untuk melakukan patch pada 11 Juni
Kemarin, CISA juga ditambahkan CVE-2026-50751 untuknya Katalog Kerentanan yang Dieksploitasi (KEV) yang Diketahuimemerintahkan badan-badan Cabang Eksekutif Sipil Federal (FCEB) untuk mengamankan perangkat mereka pada tanggal 11 Juni, sebagaimana diamanatkan oleh Petunjuk Operasional yang Mengikat (BOD) 22-01.
“Jenis kerentanan ini sering menjadi vektor serangan bagi pelaku siber jahat dan menimbulkan risiko signifikan bagi perusahaan federal,” kata badan keamanan siber tersebut.
“Terapkan mitigasi sesuai instruksi vendor, ikuti panduan BOD 22-01 yang berlaku untuk layanan cloud, atau hentikan penggunaan produk jika mitigasi tidak tersedia.”
Meskipun arahan operasional yang mengikat ini hanya berlaku untuk lembaga federal AS, CISA mendesak semua tim keamanan (termasuk yang berada di sektor swasta) untuk menerapkan patch untuk CVE-2026-50751 dan mengamankan jaringan organisasi mereka sesegera mungkin.
Dua tahun lalu, CISA menandai kerentanan lain (CVE-2024-24919) di Quantum Security Gateways Check Point yang secara aktif dieksploitasi oleh geng ransomware, membenarkan laporan Orange Cyberdefense CERT menghubungkannya dengan serangan ransomware NailaoLocker.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.
