Die **Cybersecurity and Infrastructure Security Agency (CISA)** hat eine Direktive an US-Behörden herausgegeben, die sofortiges Handeln zur Sicherung ihrer **Check Point Remote Access VPN** und **Mobile Access** Deployments fordert. Dieses dringende Mandat folgt auf die Entdeckung von **CVE-2026-50751**, einer kritischen Schwachstelle, die bei Zero-Day-Angriffen von Angeschlossenen der **Qilin Ransomware**-Gruppe aktiv ausgenutzt wird. Diese Sicherheitslücke ermöglicht es nicht authentifizierten Remote-Angreifern, Authentifizierungsprotokolle zu umgehen und eine Remote-Access-VPN-Verbindung auf den Zielsystemen von **Mobile Access/SSL VPNs**, **Remote Access VPNs** oder **Spark Firewalls** herzustellen. Entscheidend ist, dass die Schwachstelle speziell Instanzen betrifft, die für die Verwendung des veralteten **IKEv1**-Schlüsselaustauschprotokolls konfiguriert sind. Betroffene Systeme sind solche, bei denen die Sicherheits-Gateways kein Maschinen-Zertifikat für Verbindungen benötigen und Legacy-Remote-Access-Clients akzeptieren. **Check Point**, das israelische Cybersicherheitsunternehmen, veröffentlichte am Montag Sicherheitsupdates zur Behebung von **CVE-2026-50751**. Das Unternehmen stellte fest, dass die Ausnutzung am 7. Mai begann und am vergangenen Wochenende einen deutlichen Anstieg verzeichnete. Obwohl die beobachtete Ausnutzung auf "einige Dutzend" Organisationen weltweit beschränkt war, hat **Check Point** mindestens einen Vorfall bestätigt, der direkt mit der **Qilin Ransomware-as-a-Service (RaaS)**-Operation in Verbindung steht. **Qilin** war sehr aktiv und beanspruchte seit seinem Auftauchen im August 2022 über 400 Opfer auf seiner Dark-Web-Leak-Seite. "Bis heute war die beobachtete Ausnutzung auf einige Dutzend Zielorganisationen weltweit beschränkt. Ein Fall beinhaltete bestätigte Post-Kompromittierungsaktivitäten im Zusammenhang mit einem **Qilin Ransomware**-Affiliate", erklärte **Check Point**. "Kunden, die das **IKEv1**-Schlüsselaustauschprotokoll verwenden, werden dringend aufgefordert, die verfügbaren Sicherheitsupdates sofort anzuwenden." Für Organisationen, die nicht sofort patchen können, hat **Check Point** Abhilfemaßnahmen bereitgestellt. Dazu gehören die Entfernung der Unterstützung für den Legacy-Remote-Access-Client, die Konfiguration globaler Eigenschaften für die Remote-Access-VPN-Authentifizierung ausschließlich auf **IKEv2**, die Aktivierung von **IPS** und das Herunterladen der entsprechenden Signaturen sowie die obligatorische Konfiguration der Maschinen-Zertifikatsauthentifizierung. ## Bundesbehörden müssen bis zum 11. Juni patchen Die **CISA** hat **CVE-2026-50751** gestern in ihren **Known Exploited Vulnerabilities (KEV) Catalog** aufgenommen. Diese Aufnahme verpflichtet die Behörden des Federal Civilian Executive Branch (**FCEB**), ihre betroffenen Geräte bis zum 11. Juni gemäß der **Binding Operational Directive (BOD) 22-01** zu sichern. "Diese Art von Schwachstelle ist ein häufiger Angriffsvektor für böswillige Cyberakteure und birgt erhebliche Risiken für die föderale Infrastruktur", bemerkte die **CISA**. Die Behörde riet weiter: "Wenden Sie Abhilfemaßnahmen gemäß den Anweisungen des Herstellers an, befolgen Sie die geltenden **BOD 22-01**-Richtlinien für Cloud-Dienste oder stellen Sie die Nutzung des Produkts ein, wenn Abhilfemaßnahmen nicht verfügbar sind." Obwohl die **BOD 22-01** hauptsächlich US-Bundesbehörden betrifft, drängte die **CISA** alle Sicherheitsteams, einschließlich der im privaten Sektor, dringend dazu, Patches für **CVE-2026-50751** bereitzustellen und ihre Netzwerke unverzüglich zu stärken. Dies ist nicht das erste Mal, dass **Check Point**-Schwachstellen die Aufmerksamkeit der **CISA** auf sich ziehen. Zwei Jahre zuvor wurde **CVE-2024-24919** in **Check Point's Quantum Security Gateways** ebenfalls als aktiv von Ransomware-Gruppen ausgenutzt gekennzeichnet, insbesondere im Zusammenhang mit **NailaoLocker Ransomware**-Angriffen.