Anbieter Check Point hat eine kritische Schwachstelle (CVE-2026-50751) in seinen VPN-Produkten öffentlich gemacht. Die Sicherheitslücke ermöglicht bei bestimmten VPN-Konfigurationen einen mobilen Zugriff eine Umgehung der Authentifizierung. Die Schwachstelle wird ausgenutzt, aber es gibt einen Patch.
Die Information ist mir bereits zum 8. Juni 2026 am Nachmittag von Check Point zugegangen.
VPN-Schwachstelle CVE-2026-50751
Die Schwachstelle CVE-2026-50751 einsteht durch einen Fehler im Logikablauf bei der Zertifikatsvalidierung beim Fernzugriff und beim mobilem Zugriff. Beim veralteten IKEv1-Schlüsselaustausch ermöglicht die Schwachstelle es einem nicht authentifizierten Angreifer, die Benutzerauthentifizierung zu umgehen und eine Fernzugriffs-VPN-Verbindung ohne gültiges Benutzerpasswort herzustellen. Die Schwachstelle hat eine CVSS 3.1-Bewertung von Bewertung 9,3 erhalten.
Check Point hat dazu zum 8. Juni 2026 den Support-Beitrag CVE-2026-50751 – User Authentication bypass on VPN Remote Access and Mobile Access in deprecated IKEv1 key exchange veröffentlicht und betroffene Produkte (Security Gateways, Spark Firewalls) benannt.
Zudem gibt es einen zweite Support-Beitrag CVE-2026-50752 VPN site to site certificate bypass vulnerability in deprecated IKEv1 key exchange, ebenfalls vom 8. Juni 2026, zu einer zweiten Schwachstelle.
Für beide Schwachstellen gibt es in den oben verlinkten Support-Beiträgen sowohl Anweisungen zur Abschwächung (Mitigation) als auch Hotfixes, um die Sicherheitslücken zu schließen.
Check Point warnt vor einer Ausnutzung
In einer Mitteilung warnt Check Point davor, dass die Schwachstelle CVE-2026-50751 derzeit bereits aktiv ausgenutzt werde. Die Ausnutzung dieser Schwachstelle kann es einem Angreifer ermöglichen, sich im Netzwerk zu authentifizieren. Voraussetzung ist allerdings, dass der Angreifer vor jedoch noch Berechtigungen erlangen muss, um auf Ressourcen innerhalb des Netzwerks zuzugreifen und größeren Schaden anzurichten.
Basierend auf den am 4. Juni 2026 begonnenen und bis heute andauernden Untersuchungen hat Check Point Anzeichen dafür beobachtet, dass sich die Ausnutzung, vor allem in den letzten Tagen, auf eine relativ kleine Anzahl von Zielorganisationen (weltweit mehrere Dutzend) beschränkt hat.
Ein Vorfall ist auf den 7. Mai datiert. In nur einem bestimmten Fall hat Check Point Research eine Aktivität nach der Kompromittierung bestätigt, die mit einer mit der Qilin-Ransomware verbundenen Gruppe in Verbindung steht.
Check Point geht davon aus, dass die Infrastruktur dieses Angreifers weitere VPN-bezogene Schwachstellen ausnutzt, wie beispielsweise die von Palo Alto, Fortinet und F5 veröffentlichten. Check Point hat einen umfassenden Fix entwickelt, der nach der Installation diese Ausnutzung verhindert, und fordert betroffene Organisationen dringend auf, diesen zu installieren.
Darüber hinaus behebt der Fix mithilfe der internen KI-basierten Code-Sicherheitsplattform (BLAST) eine weitere vom Forschungsteam entdeckte CVE-2026-50752 (7,4-Punkte-Bewertung). Bislang gab es noch keine Ausnutzung dieser CVE, aber Check Point hält es für wichtig, dass Organisationen, die End-to-End-VPN-Produkte verwenden, diesen Fix installieren.
Details lassen sich im Check Point-Blog-Beitrag Security Advisory – Action Required – Active Exploitation of Check Point VPN Authentication Bypass (CVE-2026-50751) nachlesen.
MVP: 2013 – 2016
