Firma keamanan siber asal Israel, Check Point, secara resmi mengeluarkan peringatan darurat terkait aktivitas eksploitasi yang menargetkan kerentanan kritis pada infrastruktur Remote Access VPN dan Mobile Access mereka. Serangan ini secara spesifik mengeksploitasi sistem yang masih menggunakan protokol pertukaran kunci IKEv1 yang telah usang.

Kerentanan utama yang dilacak sebagai CVE-2026-50751 memiliki skor keparahan sangat tinggi (CVSS: 9.3). Celah ini berakar pada kelemahan alur logika dalam proses validasi sertifikat. Akibatnya, penyerang jarak jauh yang tidak terautentikasi mampu memanipulasi sistem untuk melewati syarat otentikasi dan membangun koneksi VPN tanpa memerlukan kata sandi pengguna yang valid.

"Dengan memanfaatkan celah logika dalam validasi sertifikat, penyerang dapat membuat sesi VPN tanpa memiliki kata sandi yang valid," ungkap Check Point. Namun, mereka mencatat bahwa aktivitas pasca-otentikasi tetap diperlukan oleh peretas untuk mengakses sumber daya internal secara lebih dalam.

Baca Juga: Meta Gagalkan Operasi Spear-Phishing NSO Group di WhatsApp dan Ajukan Gugatan Hukum Lanjutan

Keberhasilan eksploitasi ini tidak terjadi secara otomatis, melainkan mengharuskan gateway memiliki konfigurasi rentan berikut:

1. Akses Jarak Jauh VPN atau Akses Seluler dalam status aktif.
2. Protokol warisan IKEv1 diaktifkan.
3. Gateway dikonfigurasi untuk menerima klien Akses Jarak Jauh versi lama (legacy).
4. Gateway tidak mewajibkan penggunaan sertifikat mesin (machine certificate) untuk koneksi klien.

Daftar Produk yang Terdampak:

• Security Gateways: R82.10 Jumbo Hotfix Take 19 (atau lebih rendah), R82 Jumbo Hotfix Take 103 (atau lebih rendah), R81.20 Jumbo Hotfix Take 141 (atau lebih rendah), serta versi End-of-Support (EOS) yakni R81.10, R81, dan R80.40.
• Firewall Spark: R81.10.X, R82.00.X, dan versi R80.20.X (EOS).

Catatan: Peninjauan lebih lanjut juga mengungkap kerentanan sekunder, CVE-2026-50752 (CVSS: 7.40), yang berpotensi memfasilitasi serangan Adversary-in-the-Middle (AitM) pada koneksi VPN antar-situs. Namun, belum ada bukti eksploitasi aktif untuk celah kedua ini.

Menurut data telemetri Check Point, jejak eksploitasi paling awal terjadi pada 7 Mei 2026, sementara indikasi aktivitas mencurigakan mulai diamati secara intensif pada 4 Juni 2026. Hingga saat ini, skala serangan masih bersifat oportunistik dan terbatas pada "beberapa lusin organisasi" di seluruh dunia.

Analisis forensik mengungkap Taktik, Teknik, dan Prosedur (TTPs) yang sangat terstruktur dari kelompok peretas:

• Infrastruktur VPS Terlokalisasi: Aktor ancaman menyewa Virtual Private Server (VPS) di negara yang sama dengan lokasi organisasi target. Taktik ini digunakan untuk membaur dengan lalu lintas lokal dan menghindari sistem deteksi geo-blocking.
• Penyebaran Muatan Berbahaya: Setelah membobol gerbang VPN, penyerang mencoba mengunduh fail executable Linux (ELF) berbahaya dari server komando mereka.
• Komunikasi Klandestin: Terdapat indikator kuat bahwa peretas menggunakan protokol komunikasi Tox—sebuah pola yang sangat identik dengan sindikat kejahatan siber bermotif finansial.

Fakta paling mengkhawatirkan adalah salah satu fase pasca-eksploitasi ini terkonfirmasi memiliki afiliasi langsung dengan operasi Ransomware Qilin. Peneliti dari The Hacker News dan Ctrl-Alt-Intel juga mencatat bahwa infrastruktur pelaku ancaman ini diduga kuat dipakai untuk mengeksploitasi kerentanan VPN dari vendor raksasa lainnya seperti Palo Alto Networks, Fortinet, dan F5.

Eksploitasi pada CVE-2026-50751 kembali menegaskan bahwa perangkat VPN di perimeter terluar jaringan (edge appliance) adalah titik buta (blind spot) paling diincar oleh sindikat ransomware.

Rekomendasi Taktis untuk CISO dan Tim Infrastruktur TI:

1. Matikan Protokol Warisan Secara Agresif: Protokol usang seperti IKEv1 sudah saatnya dimatikan dari seluruh firewall produksi. Lakukan migrasi secara menyeluruh ke IKEv2 yang jauh lebih tangguh terhadap manipulasi logika pertukaran kunci.
2. Terapkan Autentikasi Berbasis Sertifikat Mesin: Kerentanan ini gagal dieksploitasi jika gateway Anda mewajibkan validasi sertifikat mesin perangkat keras. Jangan pernah hanya mengandalkan kata sandi pengguna untuk akses VPN korporat.
3. Audit Infrastruktur Pihak Ketiga: Mengingat penyerang menyasar celah dari berbagai vendor (Check Point, Fortinet, Palo Alto), pastikan seluruh perangkat perimeter telah ditambal (patch) dengan hotfix terbaru yang dirilis pada bulan Juni ini.