SEKurity GmbH Logo
CVE-Forschung

InSEKurity of the Week (CW24/2026): Check Point Remote Access VPN IKEv1 Authentication Bypass (CVE-2026-50751)

Ein Logikfehler im veralteten IKEv1-VPN des Check Point Security Gateway erlaubt unauthentifizierten Angreifern, eine Remote-Access-VPN-Sitzung ohne gueltiges Passwort aufzubauen -- als Zero-Day von einem Qilin-Ransomware-Affiliate ausgenutzt und im CISA-KEV-Katalog gelistet

SEKurity Team

Offensive Security Experten

16 Min. Lesezeit
Teilen:

Diese Woche in unserer Serie InSEKurity of the Week: ein kritischer, unauthentifizierter Authentication Bypass im Remote Access VPN des Check Point Security Gateway — der Perimeter-Sicherheitsplattform, die die Netzwerke eines Grossteils der Unternehmen, Behörden und Betreiber kritischer Infrastruktur weltweit absichert. Die als CVE-2026-50751 geführte und mit CVSS 9.3 (kritisch) bewertete Schwachstelle steckt im veralteten IKEv1-Key-Exchange und erlaubt einem entfernten Angreifer, eine VPN-Sitzung ohne gültiges Benutzerpasswort aufzubauen. Das ist kein theoretischer Fehler: Er wurde seit mindestens dem 7. Mai 2026 als Zero-Day ausgenutzt, ein Qilin-Ransomware-Affiliate wird mit Post-Compromise-Aktivitäten in Verbindung gebracht, und CISA hat ihn in den Katalog der Known Exploited Vulnerabilities (KEV) mit verpflichtender Behebungsfrist für Bundesbehörden aufgenommen. Wer Check Point Remote Access oder Mobile Access mit aktiviertem IKEv1 betreibt, sollte diese Schwachstelle ganz oben auf die Patch-Liste setzen.

🚨 Zusammenfassung

  • CVE-ID: CVE-2026-50751
  • CVSS-Score: 9.3 (kritisch)
  • CVSS-Vektor: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N (laut Check Point; massgeblicher Vektor siehe Advisory SK185033)
  • CWE: CWE-287 (Improper Authentication)
  • Betroffene Software: Check Point Security Gateway — Remote Access VPN, Mobile Access (SSL VPN) und Spark Firewall — nur wenn der veraltete IKEv1-Key-Exchange aktiviert ist
  • Angriffsvektor: Netzwerk (entfernt, unauthentifiziert) — manipulierter IKEv1-Main-Mode-Austausch an das VPN-Gateway
  • Authentifizierung erforderlich: Keine
  • Benutzerinteraktion: Keine
  • Auswirkung: Umgehung der Zertifikats-/Benutzerauthentifizierung zum Aufbau einer Remote-Access-VPN-Sitzung als legitimer Benutzer — ein Brückenkopf im Unternehmensnetzwerk
  • Patch-Status: ✅ Hotfixes verfügbar (SK185033)
  • Veröffentlicht: 8. Juni 2026 (Check-Point-Advisory)
  • Exploitation-Status: Seit dem 7. Mai 2026 aktiv als Zero-Day ausgenutzt — mit einem Qilin-Ransomware-Affiliate in Verbindung gebracht
  • CISA KEV: ✅ Gelistet (aufgenommen am 8. Juni 2026; FCEB-Behebungsfrist 11. Juni 2026)

🛡️ Was ist das Check Point Security Gateway?

Das Check Point Security Gateway ist die Durchsetzungs-Engine der Check-Point-Netzwerksicherheitsplattform — die Firewall, der VPN-Konzentrator und die Threat-Prevention-Appliance, die am Netzwerkperimeter sitzt und Datenverkehr inspiziert, filtert und terminiert. Es ist eines der weltweit am weitesten verbreiteten Enterprise-Firewall- und VPN-Produkte und schützt Unternehmen, Banken, Krankenhäuser, Hersteller und Behörden jeder Grösse. Zu seinen Kernfunktionen gehört das Remote Access VPN (und das browserbasierte Mobile-Access-/SSL-VPN-Portal), über das Mitarbeitende und Dienstleister von überall in das Unternehmensnetzwerk tunneln.

Remote Access VPN handelt verschlüsselte Tunnel mithilfe des Protokolls Internet Key Exchange (IKE) aus. Moderne Deployments nutzen IKEv2, doch Check-Point-Gateways unterstützen aus Gründen der Abwärtskompatibilität mit älteren Clients und Konfigurationen weiterhin den veralteten IKEv1-Key-Exchange. IKEv1 ist deprecated — und genau in diesem alten, aber noch aktivierten Codepfad steckt CVE-2026-50751. Da ein VPN-Gateway buchstäblich die Eingangstür zum internen Netzwerk ist, verschafft ein Authentication Bypass an dieser Stelle einem Angreifer genau das, was jeder Eindringling zuerst will: eine vertrauenswürdige Position innerhalb des Perimeters.

Typische Einsatzbereiche

  • Zugang für Remote-Belegschaft: Mitarbeitende und Dienstleister, die von zu Hause oder unterwegs auf interne Anwendungen, Dateifreigaben und Systeme zugreifen.
  • Site-to-Site- und Client-VPN: sichere Tunnel zwischen Büros, Rechenzentren und Cloud-Umgebungen.
  • Mobile-Access-Portal: clientloser, browserbasierter Zugriff auf interne Webanwendungen und Ressourcen.
  • Perimeter-Firewalling und Threat Prevention: IPS, Application Control und Traffic-Inspektion am Netzwerkrand.
  • Schutz von Niederlassungen und KMU: Spark-Appliances sichern kleinere Standorte mit demselben VPN-Funktionsumfang.

Da das Security Gateway eine Tier-0-, internetzugewandte Vertrauensgrenze ist — und Remote Access VPN bewusst öffentlich erreichbar gemacht wird, damit Remote-Nutzer es erreichen können — ist eine unauthentifizierte Schwachstelle in seiner VPN-Authentifizierung so ernst wie es nur geht.

🔍 Technische Analyse

Schwachstellenbeschreibung

CVE-2026-50751 ist ein Improper-Authentication-Fehler (CWE-287) in der Art und Weise, wie die Remote-Access- und Mobile-Access-Komponenten von Check Point Zertifikate während des IKEv1-Key-Exchange validieren. Der Handshake soll kryptografisch verifizieren, dass der verbindende Client ein gültiges, vertrauenswürdiges Zertifikat und eine gültige Signatur vorweist, bevor er als authentifizierter Benutzer behandelt wird. Aufgrund eines Logikfehlers kann ein Angreifer das Gateway dazu bringen, diese Verifizierung vollständig zu überspringen und als legitimer Benutzer authentifiziert zu werden — ohne gültiges Passwort und ohne kryptografisch gültiges Zertifikat. Das Ergebnis ist eine voll aufgebaute Remote-Access-VPN-Sitzung mit einer internen IP-Adresse im Unternehmensnetzwerk.

Die Schwachstelle betrifft nur Gateways, die bestimmte (aber gängige, historisch gewachsene) Bedingungen erfüllen: Der veraltete IKEv1-Key-Exchange ist aktiviert, Legacy-Remote-Access-Clients werden akzeptiert und die Maschinen-Zertifikatsauthentifizierung ist nicht verpflichtend. Wo diese Punkte zutreffen — und viele langlebige Deployments setzen sie aus Kompatibilitätsgründen — funktioniert der Bypass vor jeglicher Authentifizierung, sowohl über UDP/500 als auch über TCP/443 (via TCPT-Transport des Visitor Mode).

Ursachenanalyse (Root Cause)

Eine unabhängige Analyse (watchTowr Labs) führte den Fehler darauf zurück, dass der Client entscheiden darf, ob der Client sich überhaupt authentifizieren muss. Die entscheidenden Details:

  1. Die Authentifizierung wird durch ein Flags-Wort gesteuert: Zwei kritische Prüfungen werden durch Bits in einem einzigen Flags-Feld im Verbindungszustand gesteuert (am Offset state + 0x4bc4). Bit 0x2 steuert die Signaturprüfung in der Routine process_auth_pl des Gateways; Bit 0x4 umgeht verifyMessagePhase1 innerhalb von verify_peer_auth. Ist eines der Bits gesetzt, wird die Authentifizierung übersprungen.
  2. Der Client kontrolliert diese Flags: Das Gateway liest den Flag-Wert direkt aus einem vom Angreifer gelieferten VPNExtFeatures-Vendor-ID-Payload. Es lokalisiert einen festen Magic-Identifier (3c f1 87 b2 47 40 29 ea 46 ac 7f d0 ea f2 89 f5) und kopiert die vier unmittelbar darauf folgenden Bytes direkt in das Flags-Feld: 
    uint cap = *(uint *)(vid + 16);
*(uint *)(state + 0x4bc4) = bswap32(cap);
  3. Keine Vertrauensgrenze für Angreifer-Input: Indem der Angreifer eine Vendor ID sendet, deren letzte Bytes 0x00000004 sind, setzt er Bit 0x4, und das Gateway verifiziert die Signatur nie.
  4. Keine Zertifikatsketten-Validierung: Der Angreifer kann ein selbstsigniertes X.509-Zertifikat vorlegen — es findet keine Kettenvalidierung statt — und eine zufällige, ungültige Signatur, die niemals geprüft wird.
  5. Veralteter, aber aktivierter Codepfad: Das alles steckt in der Legacy-IKEv1-Implementierung, die auf Gateways aktiv bleibt, die für die Kompatibilität mit älteren Clients vorgehalten werden.
  6. Transport-unabhängige Erreichbarkeit: Der Bypass funktioniert über UDP/500 und über TCP/443 (Visitor Mode) und betrifft drei der vier Zertifikats-Authentifizierungsmodi.

Angriffsvektor

Zur Ausnutzung des Bypass benötigt ein Angreifer nur zwei einfache Aufklärungsschritte, beide ohne Anmeldedaten auslesbar, und anschliessend einen manipulierten IKEv1-Main-Mode-Austausch. Der folgende Ausschnitt ist nur zur Veranschaulichung — er zeigt die Form des Angriffs und der Aufklärung, kein funktionierendes Exploit:

# Schritt 1: Internetzugewandte Check-Point-Remote-Access-/Mobile-Access-
# Gateways finden. IKE lauscht auf UDP/500; das VPN/Portal ist ueber
# TCP/443 erreichbar.
nmap -sU -p 500 --open -oG ike-candidates.gnmap 203.0.113.0/24
nmap -sT -p 443 --open -oG portal-candidates.gnmap 203.0.113.0/24

# Schritt 2: Den ICA-"organization"-String aus dem OEFFENTLICHEN TLS-
# Zertifikat des Gateways auslesen -- es wird jedem Verbindenden
# praesentiert, keine Authentifizierung noetig.
echo | openssl s_client -connect <gateway-host>:443 2>/dev/null \
    | openssl x509 -noout -subject -issuer

# Schritt 3: Einen gueltigen Benutzernamen beschaffen. Benutzernamen sind
# ueber das Probe-/Response-Verhalten des Gateways waehrend der VPN-
# Aushandlung ermittelbar.

# Schritt 4: Einen boesartigen IKEv1-Main-Mode-Austausch konstruieren. NUR
# ZUR VERANSCHAULICHUNG -- dies implementiert NICHT CVE-2026-50751. Das
# echte Exploit sendet:
#   - ein selbstsigniertes X.509-Zertifikat (keine Kettenvalidierung)
#   - eine zufaellige/ungueltige Signatur (sie wird nie geprueft)
#   - ein VPNExtFeatures-Vendor-ID-Payload, dessen letzte 4 Bytes
#     0x00000004 sind und damit das Flag "Signaturpruefung ueberspringen"
#     setzen.
# Das Gateway authentifiziert den Angreifer dann als gewaehlten Benutzer
# und liefert einen Sitzungsschluessel sowie eine interne IP-Adresse.

Eine vereinfachte Darstellung der Angriffskette:

Angreifer                                  Opfer (Check Point Security Gateway)
   |                                                        |
   |  ICA-org-String aus oeffentl. TLS-Zertifikat (TCP/443) |
   |------------------------------------------------------->|  keine Auth noetig
   |                                                        |
   |  IKEv1 Main Mode: selbstsig. Zert. + ungueltige Sig.   |
   |  + VPNExtFeatures Vendor ID (letzte Bytes 0x00000004)  |
   |------------------------------------------------------->|  Flag-Bit 0x4 gesetzt
   |                                                        |  -> Signaturpruefung
   |                                                        |     wird UEBERSPRUNGEN
   |                                                        |
   |<-- authentifiziert als gueltiger Benutzer + Key -------|  interne IP vergeben
   |                                                        |
   |  Angreifer ist nun IM Unternehmensnetzwerk -----------> |  Brueckenkopf fuer
   v                                                        v  Lateral Movement

Der obige Ablauf dient nur zur Veranschaulichung — er implementiert nicht CVE-2026-50751. Das eigentliche Exploit missbraucht das Vertrauen des Gateways in ein vom Client geliefertes Vendor-ID-Flag, um die IKEv1-Signaturprüfung zu überspringen, und ermöglicht so eine Authentifizierung mit ungültigem Zertifikat und ungültiger Signatur.

Ausnutzung in freier Wildbahn

  • 2026-05-07 — Früheste beobachtete Ausnutzung. Die Schwachstelle wurde Wochen vor jeglichem Advisory als Zero-Day genutzt.
  • Anfang Mai 2026 — Erste dokumentierte Angriffe, darunter ein finanziell motivierter Einbruch, der später einem Qilin-Ransomware-Affiliate zugeschrieben wurde, das Tox für die C2-Kommunikation und Rclone zur Datenexfiltration nutzte und von dedizierter VPS-Infrastruktur aus operierte.
  • 2026-06-04 — Check Point bemerkt verdächtige Aktivität und leitet eine Untersuchung ein.
  • 2026-06-08 — Check Point veröffentlicht das Security-Advisory und einen Notfall-Hotfix; CISA nimmt CVE-2026-50751 am selben Tag in den KEV-Katalog auf, mit einer verpflichtenden FCEB-Behebungsfrist am 11. Juni 2026.
  • Anfang Juni 2026 — Die Ausnutzungsversuche eskalieren; Sicherheitsanbieter (Rapid7 und andere) bestätigen weitere Fälle. Die beobachtete Aktivität bleibt eine gezielte Kampagne gegen einige Dutzend Organisationen weltweit, wobei Zusammenhänge zwischen der Geografie der Opfer und der VPS-Geolokalisierung der Angreifer festgestellt wurden.

Auswirkungen nach erfolgreicher Ausnutzung

  1. Authentifizierter Brückenkopf hinter dem Perimeter: Der Angreifer erhält eine legitime VPN-Sitzung und eine interne IP — die wertvollste Ausgangsposition für einen Einbruch.
  2. Lateral Movement: Von innen bewegt sich der Angreifer in Richtung Active Directory, Dateiserver und kritische Systeme.
  3. Ransomware-Deployment: Das bestätigte Qilin-Affiliate nutzte den Zugang zur Datenexfiltration (Rclone) und zum Ausrollen von Ransomware — der klassische Double-Extortion-Ablauf.
  4. Credential Harvesting: Eine interne Position ermöglicht das Abgreifen weiterer Zugangsdaten, um den Zugriff auszuweiten und zu vertiefen.
  5. Persistenz: Rogue-VPN-Zugänge, neue Konten oder Implantate erlauben dem Angreifer die Rückkehr, selbst nachdem die ursprüngliche Sitzung endet.
  6. Tarnung: Da sich der Angreifer als “gültiger Benutzer” authentifiziert, fügt sich die Aktivität in den legitimen VPN-Verkehr ein und verzögert die Entdeckung.

⚠️ Auswirkungsbewertung

Unmittelbare Auswirkungen

  • Unauthentifizierte, über das Internet erreichbare Perimeter-Umgehung: keine Anmeldedaten und keine Benutzerinteraktion — nur Netzwerkzugang zu einem öffentlichen VPN-Gateway.
  • Hochwertiges, allgegenwärtiges Ziel: Das Check Point Security Gateway ist eine der weltweit am weitesten verbreiteten Enterprise-Firewall-/VPN-Plattformen.
  • Aktive Zero-Day-Ausnutzung: in freier Wildbahn vor der Veröffentlichung missbraucht, mit einem Ransomware-Affiliate, das es bereits weaponisiert hat.
  • CISA-KEV gelistet: Eine verpflichtende Behebungsfrist für Bundesbehörden signalisiert bestätigte, ernsthafte Ausnutzung.
  • Legacy-Konfiguration ist der Auslöser: Deployments, die IKEv1 und Legacy-Clients aus Kompatibilitätsgründen beibehalten haben, sind genau die gefährdeten.

Betroffene Versionen

BranchStatusHinweise
R80.20.XEnd of SupportVerwundbar bei aktiviertem IKEv1 — dringend upgraden/migrieren
R80.40End of SupportVerwundbar bei aktiviertem IKEv1 — dringend upgraden/migrieren
R81End of SupportVerwundbar bei aktiviertem IKEv1 — dringend upgraden/migrieren
R81.10End of SupportVerwundbar bei aktiviertem IKEv1 — dringend upgraden/migrieren
R81.10.XBetroffenHotfix anwenden (SK185033)
R81.20BetroffenHotfix anwenden (SK185033)
R82 / R82.00.XBetroffenHotfix anwenden (SK185033)
R82.10BetroffenHotfix anwenden (SK185033)

Die Schwachstelle gilt nur, wenn der veraltete IKEv1-Key-Exchange aktiviert ist, Legacy-Remote-Access-Clients akzeptiert werden und die Maschinen-Zertifikatsauthentifizierung nicht verpflichtend ist. Das Check-Point-Advisory SK185033 ist die massgebliche Quelle für exakte Fixed-Builds und Hotfixes pro Version — vor dem Deployment stets abgleichen. (Das zugehörige Advisory SK185035 behandelt CVE-2026-50752.)

Betroffene Umgebungen

  • Jede Organisation, die Check Point Remote Access / Mobile Access mit aktiviertem IKEv1 betreibt: Der veraltete Key-Exchange ist die Auslösebedingung.
  • Langlebige Deployments: Gateways, die aus Gründen der Abwärtskompatibilität mit alten Clients auf Legacy-Konfigurationen gehalten werden.
  • Internetzugewandte VPN-Konzentratoren: Remote-Access-Portale sind bewusst öffentlich, sodass die Angriffsfläche schon durch das Design exponiert ist.
  • End-of-Support-Branches: R80.20.X-/R80.40-/R81-/R81.10-Deployments, die sowohl verwundbar als auch ausserhalb des Standard-Supports sind.
  • Kritische Infrastruktur und hochwertige Ziele: Die beobachtete Kampagne war gezielt, und Ransomware-Betreiber schätzen VPN-Brückenköpfe.

Angreiferprofile

  • Ransomware-Affiliates: wie bereits durch die mit Qilin verbundenen Einbrüche gezeigt — eine Perimeter-Umgehung ist ein idealer Ransomware-Einstiegspunkt.
  • Initial-Access-Broker: unauthentifizierter VPN-Zugang in Unternehmen ist hochwertiger, weiterverkaufbarer Zugang.
  • APT-Gruppen: ein ruhiger, authentifizierter Brückenkopf hinter dem Perimeter ist perfekt für Spionage und Langzeitoperationen.
  • Opportunistische Scanner: Da die Schwachstelle öffentlich und KEV-gelistet ist, werden internetzugewandte Check-Point-Gateways massenhaft gescannt.

🛡️ Massnahmen zur Risikominderung

Sofortmassnahmen (Priorität 1) ⚡

  1. Den Check-Point-Hotfix umgehend auf jedem betroffenen Gateway anwenden. Folgen Sie dem Advisory SK185033 für den korrekten Fix pro Versions-Branch:

    # In SmartConsole / Gaia:
#   1. Laufende Version jedes Security Gateways ermitteln.
#   2. Den in SK185033 referenzierten Hotfix fuer diesen Branch
#      herunterladen und installieren (R81.10.X, R81.20, R82,
#      R82.00.X, R82.10).
#   3. End-of-Support-Branches (R80.20.X, R80.40, R81, R81.10) muessen
#      auf ein unterstuetztes, gefixtes Release upgegradet/migriert
#      werden.

  2. Falls Sie nicht sofort patchen können, IKEv1 deaktivieren und Legacy-Client-Support entfernen. Die Schwachstelle gilt nur für den veralteten IKEv1-Pfad, sodass das Deaktivieren die Angriffsfläche entfernt:

    # In SmartConsole, in der Remote-Access-/Mobile-Access-Konfiguration:
#   - Den veralteten IKEv1-Key-Exchange deaktivieren (nur IKEv2 erzwingen).
#   - Unterstuetzung fuer Legacy-Remote-Access-Clients entfernen.
#   - Maschinen-Zertifikatsauthentifizierung VERPFLICHTEND machen.
# Vor dem Erzwingen pruefen, dass alle Produktivclients IKEv2 aushandeln.

  3. Ihre Exposition ermitteln, indem Sie prüfen, ob IKEv1 aktiviert und erreichbar ist:

    # IKE lauscht auf UDP/500. Pruefen, ob Ihr Gateway IKEv1-Aushandlung aus
# nicht vertrauenswuerdigen Netzen beantwortet (nach der Massnahme nicht).
nmap -sU -p 500 --script ike-version <gateway-host>

# Pruefen, dass das Remote-Access-Portal auf TCP/443 erreichbar ist
# (erwartet fuer Remote-Nutzer) und inventarisieren, welche Gateways es
# ins Internet exponieren.
curl -sk -o /dev/null -w "Portal HTTP-Status: %{http_code}\n" \
    "https://<gateway-host>/sslvpn/Login/Login"

  4. Eine forensische Untersuchung bis zum 7. Mai 2026 durchführen. Da dies ein aktiver Zero-Day war, genügt Patchen allein nicht — gehen Sie von einer möglichen früheren Kompromittierung aus:

    # VPN-/Authentifizierungslogs auf IKEv1-Main-Mode-Sitzungen pruefen, die
# mit anomalen Client-Merkmalen erfolgreich authentifiziert wurden, sowie
# auf VPN-Logins aus bekannten Angreifer-IP-Bereichen und ungewoehnlichen
# Geolokationen.
grep -iE "IKEv1|Main Mode|Remote Access" vpn-auth.log \
    | grep -iE "auth|login|established" \
    | awk '{print $1, $2, $5, $9}'

  5. Die bekannten Indicators of Compromise blockieren — am Perimeter und intern jagen (Angreifer-IPs wurden bei Kaupo Cloud HK, Shock Hosting und Vultr gehostet; es wurden Hashes für den Abruf von ELF-Payloads beobachtet). Holen Sie sich die aktuelle IoC-Liste aus den Check-Point- und Rapid7-Analysen und laden Sie sie in Firewall und SIEM.

Erkennungsmassnahmen 🔍

# Erkennungen aufbauen rund um:
#   - Erfolgreiche IKEv1-Main-Mode-Authentifizierungen mit Zertifikats-Auth,
#     insbesondere mit selbstsignierten oder anderweitig anomalen Client-
#     Zertifikaten.
#   - VPN-Logins aus den veroeffentlichten Angreifer-IP-Bereichen / Hosting-
#     Providern (Kaupo Cloud HK, Shock Hosting, Vultr) und ungewoehnlichen
#     Geolokationen.
#   - "Impossible Travel" oder VPN-Sitzungen ausserhalb der Baseline fuer
#     bekannte Nutzer.
#   - Ausgehende Tox-Protokoll-C2-Muster und Rclone-Datenexfiltration von
#     Hosts, die ueber VPN erreicht wurden.
#   - Neue oder Rogue-VPN-Konten / -Zertifikate, die nach dem Einbruch
#     erstellt wurden.

Netzwerkseitige Jagd:

  • Auf eingehende UDP/500-IKEv1-Aushandlung aus nicht vertrauenswürdigen Quellen an Gateways alarmieren, die nur IKEv2 sein sollten.
  • Auf VPN-Sitzungen achten, denen unmittelbar interne Aufklärung folgt (Portscans, AD-Enumeration) — ein starkes Signal nach dem Bypass.
  • Check-Point-IPS-Signaturen und jegliche Hersteller-IDS-/IPS-Abdeckung für CVE-2026-50751 ausrollen, sobald verfügbar, und veröffentlichte IoCs einspeisen.

Langfristige Sicherheitsverbesserungen

  1. Veraltete Protokolle ausmustern: IKEv1 sollte überall deaktiviert werden, wo es nicht zwingend benötigt wird; nur IKEv2 erzwingen.
  2. Maschinen-Zertifikatsauthentifizierung verpflichtend machen: Das Entfernen optionaler/schwacher Auth-Modi schliesst die Bedingungen, von denen dieser Bypass abhängt.
  3. Perimeter-Geräte auf unterstützten Releases halten: End-of-Support-Branches (R80.20.X/R80.40/R81/R81.10) müssen migriert werden — sie erhalten keine regulären Fixes.
  4. VPN-Gateways als Tier-0 behandeln: schnelle Critical-Patch-SLAs, enges Monitoring und expositionsarme Konfiguration für alle internetzugewandten Sicherheits-Appliances.
  5. Assume-Breach bei Perimeter-Zero-Days: Hat ein internetzugewandtes Gerät einen aktiven Zero-Day, patchen und jagen — nicht von einem sauberen Zustand ausgehen.
  6. Internetzugewandte Dienste kontinuierlich inventarisieren: genau wissen, welche Gateways Remote Access/Mobile Access exponieren und in welchen Versionen.

🎯 Warum ist das kritisch?

  1. Unauthentifizierte Perimeter-Umgehung: keine Anmeldedaten, keine Benutzerinteraktion — nur ein manipulierter IKEv1-Austausch liefert eine authentifizierte VPN-Sitzung im Netzwerk.
  2. Aktiver Zero-Day, vor der Veröffentlichung ausgenutzt: seit mindestens dem 7. Mai 2026 in freier Wildbahn missbraucht.
  3. Ransomware im Spiel: Ein Qilin-Affiliate hat ihn bereits für Datendiebstahl und Ransomware-Staging genutzt.
  4. CISA-KEV gelistet mit Bundesfrist: Bestätigung ernsthafter, realer Ausnutzung.
  5. Allgegenwärtiges, hochwertiges Ziel: Check-Point-Gateways schützen Unternehmen, Behörden und kritische Infrastruktur weltweit.
  6. Per Design ins Internet exponiert: Remote Access VPN muss aus dem Internet erreichbar sein, sodass verwundbare Gateways direkt angreifbar sind.
  7. Ein sauberer Patch und ein sauberer Workaround existieren: Der SK185033-Hotfix behebt es, und das Deaktivieren von IKEv1 entfernt die Angriffsfläche vollständig — es gibt keine Ausrede, es exponiert zu lassen.

🚀 Zeitleiste und Offenlegung

  • 2026-05-07 — Früheste beobachtete Ausnutzung von CVE-2026-50751 in freier Wildbahn als Zero-Day.
  • Anfang Mai 2026 — Erste dokumentierte Angriffe; ein Qilin-Ransomware-Affiliate wird später mit Post-Compromise-Aktivität in Verbindung gebracht (Tox-C2, Rclone-Exfiltration, dedizierte VPS-Infrastruktur).
  • 2026-06-04 — Check Point bemerkt verdächtige Aktivität und beginnt mit der Untersuchung.
  • 2026-06-08 — Check Point veröffentlicht das Advisory und einen Notfall-Hotfix (SK185033); CISA nimmt die CVE in den KEV-Katalog auf, mit einer verpflichtenden FCEB-Behebungsfrist am 11. Juni 2026.
  • Anfang bis Mitte Juni 2026 — Die Ausnutzung eskaliert; Rapid7 und andere bestätigen weitere Fälle. Die Aktivität bleibt eine gezielte Kampagne gegen einige Dutzend Organisationen weltweit.

🔗 Ressourcen und Referenzen

💼 SEKurity Unterstützt Sie

Schwachstellen wie CVE-2026-50751 erinnern daran, dass genau das Perimeter-Gerät, dem Sie am meisten vertrauen — das VPN-Gateway, das entscheidet, wer in Ihr Netzwerk darf — jenes ist, auf das Angreifer zuerst zielen, denn ein einziger Fehler dort umgeht alle dahinterliegenden internen Kontrollen. Ein Logikfehler in einem veralteten, aber noch aktivierten Protokoll machte aus Check Points Eingangstür eine offene Tür — und eine Ransomware-Crew ging einfach hindurch. Wir helfen Organisationen, die Legacy-Optionen und veralteten Protokolle zu finden, die noch still an ihrem Perimeter aktiviert sind, zu validieren, dass internetzugewandte Appliances wirklich gepatcht und gehärtet sind, und zu prüfen, ob ein Angreifer, der das Innere Ihres Netzwerks erreicht, entdeckt würde, bevor daraus ein Ransomware-Vorfall wird. Unsere Perimeter- und Red-Team-Engagements kartieren genau diese vergessenen Türen — bevor jemand mit einem Zero-Day sie zuerst findet.

Unsere Leistungen

  • Penetration Testing: Webanwendungen, mobile Apps (Android & iOS), SAP-Systeme, Active Directory
  • Groß angelegte Angriffe: Perimeter-Tests, IT-Infrastruktur-Tests, Red-Team-Engagements
  • Security Awareness: Phishing-Kampagnen, Hacking-Demonstrationen

Handeln Sie jetzt — bevor es Angreifer tun.

Kontakt:

🌐 Website: www.sekurity.de

📧 Anfragen: www.sekurity.de/kontakt

📱 LinkedIn: SEKurity GmbH

Ihr SEKurity Team — Your Trusted Adversaries

Die Sicherheit Ihrer Perimeter-Infrastruktur ist unser Antrieb.

Quellen

Schlagwörter

#InSEKurity #CVE #Check Point #Security Gateway #VPN #IKEv1 #Authentication Bypass #Ransomware

Über den Autor

SEKurity Team

Offensive Security Experten

Das SEKurity GmbH Team besteht aus erfahrenen Penetrationstestern, Security-Forschern und Cybersecurity-Beratern. Unter dem Motto 'Your Trusted Adversaries' unterstützen wir Organisationen dabei, ihre IT-Sicherheit aus der Perspektive eines Angreifers zu bewerten und zu verbessern.

Verwandte Artikel