Unternehmen, die Check Point Remote Access VPN-, Mobile Access- oder Spark Firewall-Lösungen einsetzen, wird empfohlen, sofortige Maßnahmen zu ergreifen, nachdem bestätigt wurde, dass CVE-2026-50751, eine kritische Authentifizierungsumgehungsschwachstelle, aktiv ausgenutzt wird. Diese Schwachstelle, die mit einem hohen Schweregrad von 9.3 bewertet wurde, betrifft Umgebungen, die für die Verwendung des veralteten IKEv1-Schlüsselaustauschprotokolls konfiguriert sind, und ermöglicht nicht authentifizierten Angreifern den VPN-Zugang ohne gültige Benutzeranmeldedaten.

Die Schwachstelle entsteht durch einen Logikfehler bei der Zertifikatsvalidierung in den betroffenen VPN-Komponenten. Durch Ausnutzung dieser Schwachstelle kann ein Angreifer eine Remote-VPN-Sitzung aufbauen, ohne ein legitimes Passwort vorzulegen. Zwar sind nach dem ersten Zugriff weitere Schritte erforderlich, um sich seitlich zu bewegen oder die Berechtigungen zu erweitern, doch diese Umgehung senkt die Hürde für den unbefugten Zugang zu Unternehmensnetzwerken erheblich und untergräbt effektiv die Verteidigungsmaßnahmen am Netzwerkrand.

Die beobachteten Angriffe waren begrenzt, aber zielgerichtet und betrafen mehrere Dutzend Organisationen auf der ganzen Welt. Check Point identifizierte verdächtige Aktivitäten, die am 4. Juni 2026 begannen und bis mindestens zum 7. Mai 2026 zurückreichen. Ein Vorfall zeigte Aktivitäten nach der Kompromittierung, die mit einem Qilin-Ransomware-Ableger in Verbindung stehen, was darauf hindeutet, dass Bedrohungsakteure diese Schwachstelle als ersten Zugangsvektor für finanziell motivierte Operationen nutzen.

Die Bedrohungsakteure, die mit diesen Angriffen in Verbindung gebracht werden, scheinen eine strukturierte Infrastruktur mit virtuellen privaten Servern zu betreiben, die bei verschiedenen Anbietern gehostet werden, darunter Kaupo Cloud HK, Shock Hosting und Vultr. In einigen Fällen stimmte die geografische Lage der Infrastruktur des Angreifers mit der des anvisierten Opfers überein, was auf eine gezielte Angriffsstrategie schließen lässt. Es gibt auch Hinweise auf die Verwendung des Tox-Kommunikationsprotokolls, das üblicherweise mit Ransomware-Gruppen in Verbindung gebracht wird, die sich der Überwachung entziehen wollen, sowie auf den Einsatz von Tools wie Rclone zur Datenexfiltration.

Nach erfolgreicher Ausnutzung wurden Angreifer beobachtet, die versuchten, Linux-basierte Ransomware-Nutzdaten zu verteilen, einschließlich ELF-Binärdateien, die mit Qilin-Ransomware-Kampagnen in Verbindung gebracht werden. Dies zeigt eine klare Entwicklung vom anfänglichen Zugriff bis hin zum potenziellen Datendiebstahl und der Verschlüsselung, was die Dringlichkeit der Erkennung und Reaktion unterstreicht. Darüber hinaus wird vermutet, dass derselbe Akteur andere VPN-Schwachstellen bei mehreren Anbietern, darunter Palo Alto Networks, Fortinet und F5, aktiv sondiert oder ausnutzt, was auf eine breitere Kampagne hindeutet, die auf Fernzugriffstechnologien abzielt.

Zusätzlich zu CVE-2026-50751 identifizierte Check Point während seiner Untersuchung eine verwandte Schwachstelle, CVE-2026-50752. Dieses sekundäre Problem betrifft die Zertifikatsvalidierung in IKEv1 und könnte unter bestimmten Bedingungen Man-in-the-Middle-Angriffe auf Site-to-Site-VPN-Verbindungen ermöglichen. Obwohl es keine Beweise dafür gibt, dass diese Schwachstelle in freier Wildbahn ausgenutzt wird, verdeutlicht ihre Existenz die Risiken, die mit der Verwendung älterer Protokolle und veralteter Konfigurationen verbunden sind.

Unternehmen sollten eine erhöhte Risikoposition einnehmen, insbesondere wenn sie weiterhin veraltete IKEv1-Konfigurationen verwenden. Es wird dringend empfohlen, sofortige Abhilfe zu schaffen, indem die vom Hersteller bereitgestellten Hotfixes und Upgrades auf unterstützte Softwareversionen angewendet werden. Wenn Patches nicht sofort durchgeführt werden können, lässt sich das Risiko durch die Deaktivierung von IKEv1, die Entfernung der Unterstützung für veraltete Remote Access-Clients und die Durchsetzung strengerer Authentifizierungskontrollen wie obligatorischer Maschinenzertifikate für VPN-Verbindungen verringern.

Sicherheitsteams wird empfohlen, umfassende forensische Überprüfungen von Authentifizierungsprotokollen und VPN-Zugriffsaufzeichnungen einzuleiten, die bis Anfang Mai 2026 zurückreichen. Die von Check Point bereitgestellten Indikatoren für eine Kompromittierung, einschließlich verdächtiger IP-Adressen und Datei-Hashes, sollten zur Identifizierung potenzieller Eindringlinge verwendet werden. Besonderes Augenmerk sollte auf anomale VPN-Sitzungen, unerwartete geografische Zugriffsmuster und ungewöhnliche Datenübertragungsaktivitäten gelegt werden, die auf eine laufende Kompromittierung oder Datenexfiltration hinweisen könnten.

In Anbetracht der Beteiligung von Ransomware-Betreibern sollten Unternehmen auch die Integrität kritischer Systeme validieren, die Verfügbarkeit von Backups überprüfen und sicherstellen, dass Pläne für die Reaktion auf einen Vorfall einsatzbereit sind. Die frühzeitige Erkennung und Eindämmung von Ransomware ist nach wie vor von entscheidender Bedeutung, um eine Eskalation bis hin zum vollständigen Einsatz von Ransomware zu verhindern.

Wenn Sie sich über eine der in diesem Bulletin beschriebenen Bedrohungen Sorgen machen oder Hilfe benötigen, um herauszufinden, welche Schritte Sie unternehmen sollten, um sich vor den größten Bedrohungen zu schützen, denen Ihr Unternehmen ausgesetzt ist, wenden Sie sich bitte an Ihren Kundenbetreuer oder nehmen Sie Kontakt mit uns auf, um zu erfahren, wie Sie Ihr Unternehmen schützen können.