Check Point 0-Day-Lücke: Ransomware-Infektion im Einsatz

Der Fehler betrifft die Produkte Mobile Access SSL VPN, Remote Access VPN und Spark Firewall in den Versionen R80.20.X bis R82.10. Zwar wird der erste Zugriff durch den Bypass ermöglicht, jedoch sind zusätzliche Schritte nach der Authentifizierung erforderlich, um auf interne Ressourcen zuzugreifen oder Privilegien zu eskalieren.

Die Check Point Research leitete ihre Untersuchung am 4. Juni 2026 ein, nachdem Hinweise auf verdächtige Aktivitäten vorlagen; die Ausnutzungsversuche lassen sich bis zum 7. Mai 2026 zurückverfolgen. Anfang Juni 2026 nahmen die Ausnutzungsversuche stark zu und richteten sich gegen ein paar Dutzend Organisationen weltweit.

Incident-Response-Teams sollten forensische Log-Analysen und Konfigurationsüberprüfungen ab dem frühesten beobachteten Ausnutzungsdatum priorisieren. Der Bedrohungsakteur wird mit mittlerer Zuversicht als finanziell motiviert eingeschätzt, nutzt Qilin Linux Ransomware-Binaries und versucht, bösartige ELF-Dateien herunterzuladen.

Sicherheitslage und Risiko

Der Akteur verwendet wahrscheinlich das Tox-Protokoll für die Command-and-Control-Kommunikation, ein Muster, das häufig mit Ransomware-Betreibern in Verbindung gebracht wird, und soll gleichzeitig Schwachstellen in VPN-Systemen ausnutzen, die, Fortinet und F5 offengelegt wurden.

Die Infrastruktur der Angreifer wurde auf Kaupo Cloud HK, Shock Hosting und Vultr Holdings gehostet, wobei in mehreren Fällen die geografische Lage der VPS mit der des Opfers korrelierte.

Zweite Schwachstelle – CVE-2026-50752: Während der Untersuchung 2026-50751 identifizierte Check Points agentic AI Code-Sicherheitsplattform BLAST eine verwandte Schwachstelle: CVE-2026-50752 (CVSS 7,4).

Einordnung fuer Autofahrer

Diese Sicherheitslücke betrifft die Zertifikatsvalidierung im veralteten IKEv1-Schlüsselaustausch und kann unter bestimmten Bedingungen Man-in-the-Middle (MitM)-Eingriffe in Site-to-Site-VPN-Kommunikationen ermöglichen. Obwohl eine aktive Ausnutzung bisher nicht beobachtet wurde, wird Kunden empfohlen, Updates proaktiv anzuwenden.

CVE-2026-50751: Beschreibung: Authentifizierungsumgehung durch eine Schwachstelle in der IKEv1-Zertifikatsvalidierung; CVSS: 9,3; Betroffene Produkte: Mobile Access/SSL VPN, Remote Access VPN, Spark Firewall; In der Wild: JA.

CVE-2026-50752: Beschreibung: MitM-Bedingung in der IKEv1-Zertifikatsvalidierung; CVSS: 7,4; Betroffene Produkte: Security Gateways, Spark Firewall; In der Wild: NEIN.

Indikatoren für Kompromisse (IOCs) 45.77.149[.]152, 209.182.225[.]136,

Indikatoren für Kompromisse (IOCs) 45.77.149[.]152, 209.182.225[.]136, 38.60.157[.]139, 162.33.177[.]101, 45.76.26[.]42 144.208.127[.]155, 38.54.88[.]201, 38.54.107[.]167, 66.42.99[.]200 52fda5c1b9704544f32ee98d9060e689 51d39aa39478beeac94f2d12f682ecce Maßnahmen Check Point drängt alle Kunden der betroffenen Versionen eindringlich, den veröffentlichten Hotfix für ihre Security Gateways unverzüglich anzuwenden.

Organisationen, die nicht sofort patchen können, sollten folgende vorläufige Schritte unternehmen: Entfernen Sie die Unterstützung für veraltete Remote-Access-Clients. Konfigurieren Sie die Remote-Access-VPN-Authentifizierung ausschließlich für IKEv2. Stellen Sie die Maschinenzertifikatsauthentifizierung als zwingend ein.

Aktivieren Sie IPS und laden Sie die neuesten Signaturen herunter.