Thought Leadership
Eine Logiklücke in Check-Point-VPNs (CVE-2026-50751) erlaubt Passwörter zu umgehen. Die Schwachstelle wird aktiv für Ransomware-Angriffe ausgenutzt.
Der Sicherheitsanbieter Check Point warnt vor der aktiven Ausnutzung einer kritischen Schwachstelle in seinen Remote-Access- und Mobile-Access-VPN-Lösungen. Der Fehler wird unter der Kennung CVE-2026-50751 geführt und weist einen CVSS-Wert von 9,3 auf. Es handelt sich um eine Schwachstelle im logischen Ablauf der Zertifikatsprüfung, wenn das veraltete Schlüsselaustauschprotokoll IKEv1 konfiguriert ist. Ein nicht authentifizierter Angreifer aus dem Internet kann dadurch die Passwortabfrage umgehen und eine Verbindung zum internen Firmennetzwerk aufbauen.
Check Point erklärte dazu in einer offiziellen Mitteilung: „Durch das Ausnutzen eines Logikfehlers bei der Zertifikatsprüfung kann ein Angreifer eine VPN-Sitzung einrichten, ohne im Besitz eines gültigen Passworts zu sein, wodurch die Authentifizierungsanforderungen effektiv umgangen werden.“ Betroffen sind zahlreiche Versionen der Sicherheits-Gateways von R80.40 bis R82.10 sowie Spark-Firewalls. Für einen erfolgreichen Angriff müssen mehrere spezifische Bedingungen auf den Geräten erfüllt sein:
- VPN Remote Access oder Mobile Access ist aktiviert
- IKEv1 ist für den Fernzugriff konfiguriert
- Gateways akzeptieren ältere Remote-Access-Clients
- Gateways erfordern kein maschinenspezifisches Zertifikat für die Verbindungen
Verbindung zu Qilin-Ransomware und Angriffsmerkmale
Erste Anzeichen für unbefugte Aktivitäten registrierte der Hersteller am 4. Juni 2026, wobei rückwirkende Analysen erste Angriffe auf den 7. Mai 2026 datieren. Seit Anfang Juni verzeichnen Sicherheitsanalysten eine deutliche Intensivierung der Angriffsversuche. Bislang beschränken sich die dokumentierten Vorfälle auf einige Dutzend gezielte Organisationen weltweit. In mindestens einem Fall wurde die Phase nach dem Eindringen einem Partnernetzwerk der Qilin-Ransomware-Gruppe zugeordnet. Das Forschungsteam Check Point Research teilte dazu per E-Mail mit: „Nach unserem aktuellen Kenntnisstand gibt es keine Anzeichen dafür, dass die Schwachstelle anderen Bedrohungsakteuren in großem Umfang zur Verfügung stand.“
Die Angreifer nutzen für ihre Infrastruktur virtuelle Server (VPS), die sich geografisch im selben Land wie das jeweilige Opfer befinden, um länderspezifische Blockaden oder Anomalie-Erkennungen zu umgehen. Nach dem erfolgreichen Aufbau des VPN-Tunnels versuchen die Akteure, schädliche ELF-Dateien von eigenen Servern nachzuladen, um weitere Rechte im internen Netzwerk zu erlangen. Die Ermittler fanden zudem Hinweise darauf, dass die Angreifer das verschlüsselte Tox-Protokoll zur Kommunikation nutzen. Dies ist ein Verhaltensmuster, das häufig mit finanziell motivierten Erpressergruppen assoziiert wird. Zudem besteht der Verdacht, dass dieselbe Infrastruktur der Akteure auch für Angriffe auf VPN-Geräte von Palo Alto Networks, Fortinet und F5 genutzt wird.
CISA nimmt Schwachstelle von Check Point in KEV auf
Im Zuge der Überprüfung der betroffenen VPN-Komponenten stießen die Entwickler auf eine zweite Schwachstelle mit der Bezeichnung CVE-2026-50752 und einem CVSS-Wert von 7,4. Dieser Fehler ermöglicht theoretisch Man-in-the-Middle-Angriffe (AitM) auf dedizierte Standort-zu-Standort-Verbindungen (Site-to-Site). Für diese zweite Lücke liegen bisher keine Erkenntnisse über eine aktive Ausnutzung in der Praxis vor.
Die US-amerikanische Cybersicherheitsbehörde CISA hat die primäre Schwachstelle CVE-2026-50751 am 8. Juni 2026 in ihren Katalog der bekannten ausgenutzten Sicherheitslücken (KEV) aufgenommen. Aufgrund des hohen Risikos sind zivile Bundesbehörden in den USA gesetzlich verpflichtet, die bereitgestellten Sicherheitsupdates und Hotfixes bis zum 11. Juni 2026 auf allen betroffenen Systemen zu installieren.
(red)
