Check Point Ungkap Serangan Zero-Day VPN Terhubung ke Geng Ransomware Qilin
Perusahaan keamanan siber asal Israel, Check Point, resmi merilis pembaruan keamanan darurat untuk menambal celah keamanan kritis (critical flaw) pada infrastruktur Remote Access VPN dan Mobile Access miliknya. Celah ini dikonfirmasi telah dieksploitasi secara aktif oleh peretas dalam serangkaian serangan siber zero-day.
Lebih mengkhawatirkan lagi, divisi intelijen Check Point Research berhasil melacak aktivitas pasca-pembobolan (post-compromise) pada salah satu insiden dan menemukan keterkaitan langsung dengan jaringan afiliasi geng Ransomware Qilin.
1. Detail Kerentanan CVE-2026-50751: Dampak dan Target Operasional
Celah keamanan utama yang dieksploitasi diposisikan sebagai kerentanan kritis dengan kode pelacakan CVE-2026-50751.
- Mekanisme Serangan: Kerentanan ini berjenis authentication bypass (pembajakan jalur otentikasi). Celah ini memungkinkan penyerang jarak jauh (remote attackers) tanpa identitas resmi (unauthenticated) untuk melewati sistem keamanan pada target SSL VPN, Remote Access VPN, atau perangkat Spark firewalls, lalu secara ilegal mendirikan koneksi VPN internal jarak jauh.
- Kondisi Sistem yang Rentan: Check Point menegaskan bahwa celah keamanan ini hanya berdampak pada infrastruktur gateway keamanan yang masih dikonfigurasi menggunakan protokol pertukaran kunci lawas yang sudah usang, yaitu IKEv1 (Internet Key Exchange version 1). Kerentanan terjadi jika sistem menerima klien Remote Access warisan (legacy) dan tidak mewajibkan penggunaan sertifikat mesin (machine certificate) untuk memvalidasi koneksi.
2. Kronologi Serangan dan Keterlibatan Geng Ransomware Qilin
Berdasarkan laporan investigasi, aktivitas serangan siber zero-day ini terpantau mulai bergerak secara senyap sejak tanggal 7 Mei 2026, lalu mengalami lonjakan volume serangan yang masif pada awal Juni 2026.
Sejauh ini, dampak serangan baru menyasar beberapa puluh organisasi berskala global secara spesifik. Salah satu kasus pembobolan yang terkonfirmasi sukses dieksploitasi berlanjut pada penggelaran enkripsi data milik kelompok Qilin.
Sebagai informasi, Qilin pertama kali muncul di radar siber pada Agustus 2022 sebagai operasi Ransomware-as-a-Service (RaaS) dengan nama awal Agenda. Lini pertahanan siber mencatat geng ini telah mengklaim bertanggung jawab atas peretasan hampir 400 korban di situs kebocoran dark web mereka, termasuk raksasa otomotif Yanfeng, Nissan, produsen bir Jepang Asahi, raksasa penerbitan Lee Enterprises, penyedia layanan patologi Synnovis, hingga lembaga hukum Court Services Victoria di Australia.
3. Penemuan Celah Kedua: CVE-2026-50752 (Ancaman MitM)
Selama proses investigasi mendalam terhadap kode sirkuit CVE-2026-50751, tim teknis Check Point secara tidak sengaja menemukan celah keamanan kritis kedua yang dilacak sebagai CVE-2026-50752.
- Dampak: Celah ini memengaruhi proses validasi sertifikat pada protokol pertukaran kunci IKEv1 yang usang.
- Risiko Serangan: Jika tidak segera ditambal, celah ini dapat dimanfaatkan oleh peretas untuk melancarkan aksi serangan penyusupan di tengah jalur komunikasi atau Man-in-the-Middle (MitM) attacks pada koneksi VPN antar-situs (site-to-site VPN). Meskipun belum ditemukan bukti eksploitasi aktif di dunia nyata untuk CVE-2026-50752, pengguna sangat disarankan untuk melakukan mitigasi bersamaan.
Langkah Mitigasi Darurat dari Check Point
Bagi perusahaan atau administrator jaringan yang belum bisa melakukan instalasi patching pembaruan firmware secara instan, Check Point mewajibkan penerapan langkah-langkah mitigasi darurat berikut untuk mengamankan jaringan:
- Matikan Dukungan Klien Lawas: Hapus total dukungan akses untuk perangkat atau aplikasi klien remote access warisan (legacy remote access client).
- Paksa Migrasi ke IKEv2: Ubah konfigurasi properti global untuk Otentikasi Remote Access VPN menjadi hanya mendukung IKEv2.
- Wajibkan Sertifikat Mesin: Aktifkan dan setel fitur Machine Certificate Authentication statusnya menjadi wajib (mandatory).
- Perbarui Fitur IPS: Aktifkan sistem pencegahan penyusupan (Intrusion Prevention System / IPS) dan segera unduh tanda tangan digital (signatures) keamanan terbaru yang disediakan Check Point.
Sumber: Laporan Keamanan Check Point Research
