**Check Point** hat kritische Sicherheitsupdates herausgegeben, um eine Zero-Day-Schwachstelle, **CVE-2026-50751**, zu beheben, die aktiv in freier Wildbahn ausgenutzt wurde. Die Schwachstelle betrifft **Check Point** Remote Access VPN- und Mobile Access-Installationen und ermöglicht es nicht authentifizierten Angreifern, die Authentifizierung zu umgehen. ### Kritische VPN-Schwachstelle unter aktivem Angriff Die Schwachstelle **CVE-2026-50751** ermöglicht es entfernten Angreifern, eine VPN-Verbindung ohne ordnungsgemäße Authentifizierung auf Zielsystemen von Mobile Access / SSL VPNs, Remote Access VPNs oder Spark-Firewalls herzustellen. Die Ausnutzung begann am 7. Mai, mit einem Anstieg der Aktivitäten Anfang Juni. **Check Point** hat bestätigt, dass die Angriffe "einige Dutzend" Organisationen weltweit betroffen haben. Beunruhigenderweise wurde mindestens einer dieser Vorfälle direkt mit Aktivitäten nach der Kompromittierung durch einen **Qilin Ransomware**-Affiliate in Verbindung gebracht. ### Die Schwachstelle erklärt Diese kritische Schwachstelle zielt speziell auf Installationen ab, die für die Verwendung des veralteten **IKEv1**-Schlüsselaustauschprotokolls konfiguriert sind. Darüber hinaus sind betroffene Systeme solche mit Security Gateways, die Legacy Remote Access Clients akzeptieren und keine Maschinen-Zertifikate für Verbindungen vorschreiben. **Check Point Research** betonte die Dringlichkeit der Situation: "Check Point Research hat die aktive Ausnutzung von **CVE-2026-50751** identifiziert, einer kritischen Authentifizierungs-Bypass-Schwachstelle, die **Check Point** Remote Access VPN- und Mobile Access-Installationen betrifft, die für die Verwendung des veralteten **IKEv1**-Schlüsselaustauschprotokolls konfiguriert sind... Kunden, die das **IKEv1**-Schlüsselaustauschprotokoll verwenden, werden dringend aufgefordert, die verfügbaren Sicherheitsupdates umgehend anzuwenden." ### Abhilfemaßnahmen und eine zweite Entdeckung Für Organisationen, die Patches nicht sofort anwenden können, hat **Check Point** mehrere Abhilfemaßnahmen bereitgestellt. Dazu gehören die Entfernung der Unterstützung für den Legacy Remote Access Client, die Konfiguration globaler Eigenschaften für die Remote Access VPN-Authentifizierung auf **IKEv2** beschränkt, die obligatorische Maschinen-Zertifikatsauthentifizierung und die Aktivierung von IPS mit aktualisierten Signaturen. Während ihrer Untersuchung von **CVE-2026-50751** entdeckte **Check Point** eine zweite Schwachstelle, **CVE-2026-50752**. Diese Schwachstelle betrifft die Zertifikatsvalidierung innerhalb des veralteten **IKEv1**-Schlüsselaustauschs und könnte Man-in-the-Middle-Angriffe auf Site-to-Site-VPN-Verbindungen ermöglichen. Obwohl keine Beweise für die Ausnutzung von **CVE-2026-50752** in freier Wildbahn vorliegen, wird Kunden geraten, Updates anzuwenden, um potenzielle Risiken zu mindern. ### Qilins Bedrohung verstehen Die **Qilin Ransomware**-Operation, ursprünglich bekannt als "Agenda", trat im August 2022 als prominenter **Ransomware-as-a-Service (RaaS)**-Anbieter auf. Seit ihrer Gründung hat die Gruppe die Verantwortung für fast 400 Opfer übernommen und diese oft auf ihrer Dark-Web-Leak-Seite aufgeführt. **Qilin** hat eine Vielzahl von hochkarätigen Organisationen in verschiedenen Sektoren ins Visier genommen. Zu den bemerkenswerten Opfern gehören der Automobilriese **Yangfeng**, der japanische Autohersteller **Nissan**, das Brauereiunternehmen **Asahi**, der Verlagriese **Lee Enterprises**, der Pathologiedienstleister **Synnovis** und **Australiens Court Services Victoria**. Die bestätigte Verbindung zwischen **Qilin** und dem **Check Point** VPN-Zero-Day unterstreicht die anhaltende und sich entwickelnde Bedrohung durch solch hochentwickelte Ransomware-Gruppen.