Organisationer som använder Check Point Remote Access VPN, Mobile Access eller Spark Firewall-lösningar rekommenderas att vidta omedelbara åtgärder efter bekräftad aktiv exploatering av CVE-2026-50751, en kritisk sårbarhet för att kringgå autentisering. Denna brist, som har en hög allvarlighetsgrad på 9,3, påverkar miljöer som är konfigurerade för att använda det föråldrade IKEv1-nyckelutbytesprotokollet och gör det möjligt för oautentiserade angripare att få VPN-åtkomst utan giltiga användaruppgifter.
Sårbarheten härrör från ett logiskt fel i certifikatvalidering inom berörda VPN-komponenter. Genom att missbruka denna svaghet kan en angripare upprätta en VPN-session på distans utan att presentera ett legitimt lösenord. Även om ytterligare steg krävs efter den första åtkomsten för att förflytta sig i sidled eller eskalera privilegier, sänker detta bypass barriären för obehörigt intrång i företagsnätverk avsevärt och undergräver effektivt perimeterförsvaret.
De observerade attackerna har varit begränsade men riktade och har påverkat flera dussin organisationer globalt. Check Point identifierade misstänkt aktivitet från och med den 4 juni 2026, med bekräftad exploatering som går tillbaka till åtminstone den 7 maj 2026. I synnerhet visade en incident aktivitet efter kompromettering kopplad till en Qilin ransomware-affiliate, vilket tyder på att hotaktörer utnyttjar denna sårbarhet som en första åtkomstvektor i ekonomiskt motiverade operationer.
Hotaktören som är associerad med dessa attacker verkar driva en strukturerad infrastruktur med virtuella privata servrar som finns hos flera leverantörer, inklusive Kaupo Cloud HK, Shock Hosting och Vultr. I vissa fall korrelerade den geografiska placeringen av angriparens infrastruktur med den geografiska placeringen av offret, vilket tyder på avsiktliga målstrategier. Indikatorer tyder också på användning av kommunikationsprotokollet Tox, som ofta förknippas med ransomware-grupper som försöker undvika övervakning, och användning av verktyg som Rclone för dataexfiltrering.
Efter framgångsrik exploatering har angripare observerats försöka distribuera Linux-baserade nyttolaster för ransomware, inklusive ELF-binärer som är associerade med Qilin ransomware-kampanjer. Detta visar på en tydlig utveckling från initial åtkomst till potentiell datastöld och kryptering, vilket understryker vikten av upptäckt och respons. Dessutom tros samma aktörsinfrastruktur aktivt undersöka eller utnyttja andra VPN-sårbarheter hos flera leverantörer, inklusive Palo Alto Networks, Fortinet och F5, vilket tyder på en bredare kampanj som riktar sig mot fjärråtkomstteknik.
Förutom CVE-2026-50751 identifierade Check Point en relaterad sårbarhet, CVE-2026-50752, under sin undersökning. Detta sekundära problem påverkar certifikatvalidering i IKEv1 och kan möjliggöra man-in-the-middle-attacker på VPN-anslutningar från plats till plats under specifika förhållanden. Även om det inte finns några bevis för att detta fel har utnyttjats i naturen, förstärker dess existens riskerna med äldre protokollanvändning och föråldrade konfigurationer.
Organisationer bör anta en förhöjd riskposition, särskilt om de fortsätter att använda föråldrade IKEv1-konfigurationer. Omedelbar korrigering rekommenderas starkt genom tillämpning av hotfixar som tillhandahålls av leverantören och uppgraderingar till programvaruversioner som stöds. Om patchning inte kan utföras omedelbart kan risken minskas genom att inaktivera IKEv1, ta bort äldre Remote Access-klientstöd och genomdriva strängare autentiseringskontroller, t.ex. obligatoriska maskincertifikat för VPN-anslutningar.
Säkerhetsteam rekommenderas att inleda omfattande kriminaltekniska granskningar av autentiseringsloggar och VPN-åtkomstposter som går tillbaka till början av maj 2026. Indikatorer på kompromisser som tillhandahålls av Check Point, inklusive misstänkta IP-adresser och filhashar, bör användas för att identifiera potentiella intrång. Särskild uppmärksamhet bör ägnas åt avvikande VPN-sessioner, oväntade geografiska åtkomstmönster och ovanlig dataöverföringsaktivitet som kan signalera pågående kompromettering eller datautfiltrering.
Med tanke på att ransomware-operatörer är inblandade bör organisationer också validera integriteten i kritiska system, se över tillgängligheten av säkerhetskopior och se till att incidenthanteringsplanerna är redo att verkställas. Tidig upptäckt och begränsning är fortfarande avgörande för att förhindra eskalering till full utrullning av ransomware.
Om du är orolig för något av de hot som beskrivs i den här bulletinen eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig mot de mest väsentliga hoten mot din organisation, vänligen kontakta din account manager, eller alternativt kontakta oss förattta redapå hur du kan skydda din organisation.