Auf den Punkt: Nicht authentifizierte Angreifer können durch einen Zertifikatsprüfungs-Fehler bei IKEv1-Konfiguration VPN-Zugang ohne Passwort erlangen und werden von Ransomware-Gruppen ausgenutzt.
Eine Logiklücke in Check-Point-VPN-Systemen (CVE-2026-50751, CVSS 9,3) erlaubt es Angreifern, die Authentifizierung zu umgehen und sich ohne gültiges Passwort mit internen Firmennetzwerken zu verbinden. Die Schwachstelle wird bereits aktiv für Ransomware-Kampagnen genutzt.
Die kritische Schwachstelle CVE-2026-50751 betrifft Remote-Access- und Mobile-Access-VPN-Lösungen von Check Point in den Versionen R80.40 bis R82.10 sowie Spark-Firewalls. Der Fehler liegt in einem Logikdefekt der Zertifikatsprüfung, der nur bei aktiviertem IKEv1-Schlüsselaustauschprotokoll auftritt. Ein nicht authentifizierter Angreifer aus dem Internet kann damit die Passwortabfrage umgehen und eine Verbindung zum internen Netzwerk aufbauen.
Check Point registrierte erste verdächtige Aktivitäten am 4. Juni 2026; rückwirkende Analysen datieren Angriffe auf den 7. Mai 2026. Seit Anfang Juni intensivieren sich Angriffsversuche deutlich. Dokumentiert sind bislang Angriffe auf einige Dutzend Organisationen weltweit. In mindestens einem Fall war ein Partner-Netzwerk der Qilin-Ransomware-Gruppe nach der initialen Kompromittierung beteiligt. Die Angreifer nutzen geografisch gezielt platzierte VPS-Infrastruktur und laden nach erfolgreicher VPN-Verbindung schädliche ELF-Dateien nach, um Rechte im internen Netzwerk zu erweitern. Sie nutzen zudem das verschlüsselte Tox-Protokoll zur Kommunikation. Nach Einschätzung von Check Point Point Research deutet nichts darauf hin, dass die Schwachstelle anderen Bedrohungsakteuren in größerem Umfang zur Verfügung stand.
Für einen erfolgreichen Angriff müssen mehrere Bedingungen zusammenkommen: VPN Remote Access oder Mobile Access muss aktiviert sein, IKEv1 muss für Fernzugriff konfiguriert sein, Gateways müssen ältere Remote-Access-Clients akzeptieren, und es darf keine maschinenspezifische Zertifikatsprüfung für Verbindungen erforderlich sein.
Zusätzlich entdeckte Check Point während der Überprüfung betroffener VPN-Komponenten eine zweite Schwachstelle, CVE-2026-50752 (CVSS 7,4), die theoretisch Man-in-the-Middle-Angriffe auf Site-to-Site-Verbindungen ermöglicht. Für diese gibt es bislang keine dokumentierten Ausnutzungsfälle in der Praxis.
Die US-Cybersicherheitsbehörde CISA nahm CVE-2026-50751 am 8. Juni 2026 in ihren Katalog bekannter ausgenutzter Sicherheitslücken (KEV) auf. Zivile US-Bundesbehörden sind gesetzlich verpflichtet, Sicherheitsupdates und Hotfixes bis zum 11. Juni 2026 einzuspielen. Die Verdachtsmeldung deutet darauf hin, dass dieselbe Angreifer-Infrastruktur auch für Angriffe auf VPN-Systeme von Palo Alto Networks, Fortinet und F5 genutzt werden könnte.
Quelle: www.it-daily.net · Erschienen 9. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.5.