Mastodon Mastodon Mastodon Mastodon

CVE-2026-50751: Authentifizierungs-Bypass in Check Point Remote Access VPN

Foto des Autors

CyberSecureFox Editorial Team

Veröffentlicht:

Das Unternehmen Check Point berichtete über die aktive Ausnutzung der kritischen Schwachstelle CVE-2026-50751 (CVSS 9.3) in seinen Produkten Remote Access VPN und Mobile Access. Die Schwachstelle ermöglicht es einem nicht authentifizierten Angreifer, die Authentifizierung zu umgehen und eine VPN‑Sitzung ohne gültiges Passwort aufzubauen, indem ein logischer Fehler im Ablauf der Zertifikatsvalidierung bei der Nutzung des veralteten Protokolls IKEv1 ausgenutzt wird. Nach Angaben des Herstellers waren weltweit mehrere Dutzend Organisationen von den Angriffen betroffen; die frühesten Spuren der Ausnutzung datieren auf Mai 2026. Check‑Point‑Administratoren, bei denen der Remote‑VPN‑Zugang über IKEv1 aktiviert ist, müssen die veröffentlichten Fixes umgehend installieren.

Technischer Hintergrund der Schwachstelle

Die Ursache des Problems ist ein logischer Fehler im Prozess der Zertifikatsvalidierung (logic flow weakness in certificate validation). Bei einer bestimmten Gateway‑Konfiguration kann ein Angreifer die Authentifizierungsanforderungen umgehen und eine vollwertige VPN‑Sitzung aufbauen, ohne ein korrektes Passwort vorlegen zu müssen. Nach Angaben von Check Point sind nach dem Aufbau der Sitzung zusätzliche Schritte erforderlich, um auf interne Ressourcen zuzugreifen oder Privilegien zu erweitern – der bloße Authentifizierungs‑Bypass führt nicht sofort zu einer vollständigen Kontrolle über das Netzwerk, schafft jedoch einen Einstiegspunkt.

Für die erfolgreiche Ausnutzung von CVE-2026-50751 müssen vier Bedingungen gleichzeitig erfüllt sein:

  • Auf dem Gateway ist VPN Remote Access oder Mobile Access aktiviert
  • Für den Remote‑Zugang wird das Protokoll IKEv1 verwendet
  • Das Gateway akzeptiert Verbindungen von veralteten Remote‑Access‑Clients (legacy Remote Access clients)
  • Das Gateway verlangt für die Verbindung kein Maschinenzertifikat

Betroffene Produkte und Versionen

Dem Sicherheitsbulletin zufolge sind folgende Produkte betroffen:

  • Security Gateways: R82.10 Jumbo Hotfix Take 19 und älter, R82 Jumbo Hotfix Take 103 und älter, R81.20 Jumbo Hotfix Take 141 und älter sowie Versionen mit abgelaufenem Support – R81.10, R81, R80.40
  • Spark Firewalls: R80.20.X (Support abgelaufen), R81.10.X, R82.00.X

Besonders kritisch ist, dass ein erheblicher Teil der verwundbaren Versionen bereits den Status End of Support (EOS) erreicht hat. Organisationen, die diese Versionen einsetzen, sind nicht nur von der Schwachstelle betroffen, sondern können regulär auch keine offiziellen Patches mehr beziehen.

Zweite Schwachstelle: CVE-2026-50752

Im Zuge der Analyse der betroffenen VPN‑Komponenten wurde eine weitere Schwachstelle entdeckt – CVE-2026-50752 (CVSS 7.4). Sie ermöglicht potenziell Angriffe vom Typ „Man-in-the-Middle“ (adversary-in-the-middle) auf standortübergreifende VPN‑Verbindungen (site-to-site). Nach Angaben des Herstellers liegen derzeit keine Hinweise auf eine Ausnutzung dieser Schwachstelle in realen Angriffen vor.

Bedrohungskontext und beobachtete Aktivität

Nach Angaben von Check Point wurden erste Anzeichen verdächtiger Aktivitäten am 4. Juni 2026 registriert, eine rückblickende Analyse ergab jedoch, dass die frühesten bekannten Fälle der Ausnutzung auf den 7. Mai 2026 zurückgehen. Die Intensität der Angriffe habe im laufenden Monat spürbar zugenommen. Der Hersteller bewertet das Ausmaß der Kampagne als begrenzt – betroffen sind weltweit mehrere Dutzend Organisationen.

Ein charakteristisches Merkmal der beobachteten Angriffe ist die Nutzung von VPS‑Infrastruktur, deren Geolokation mit dem Land der Zielorganisation übereinstimmt. Dieser Ansatz erschwert die Erkennung geografischer Anomalien bei den Verbindungen. Nach Erlangen des Zugriffs versuchten die Angreifer laut Check Point, schädliche ELF‑Dateien von ihrer kontrollierten Infrastruktur herunterzuladen.

Einige Elemente der beobachteten Aktivität überschneiden sich mit dem Bericht von Ctrl‑Alt‑Intel über die Nutzung von Unternehmens‑VPN‑Appliances für den Erstzugang durch Ransomware‑Operatoren. Es ist jedoch zu beachten, dass die Attribution zu konkreten Gruppen derzeit auf wenigen Quellen basiert und daher mit Vorsicht zu interpretieren ist.

Auswirkungsbewertung

Die Kritikalität von CVE-2026-50751 ergibt sich aus mehreren Faktoren. Erstens sind VPN‑Gateways ihrer Natur nach Eintrittspunkte in das Unternehmensnetz; eine Kompromittierung der Authentifizierung auf dieser Ebene eröffnet potenziell den Zugang zur gesamten internen Infrastruktur. Zweitens gilt das Protokoll IKEv1 offiziell als veraltet, wird aber weiterhin in Organisationen mit Legacy‑Infrastruktur eingesetzt, in denen die Migration auf IKEv2 wegen der Kompatibilität zu Alt‑Clients aufgeschoben wird. Drittens ordnen der CVSS‑Score 9.3 und die bestätigte Ausnutzung in realen Angriffen diese Schwachstelle in die höchste Prioritätsstufe ein.

Am stärksten gefährdet sind Organisationen, die:

  • Check Point für den Remote‑VPN‑Zugang von Mitarbeitenden einsetzen
  • noch nicht von IKEv1 auf IKEv2 migriert haben
  • Versionen mit abgelaufenem Support betreiben (R80.40, R81, R81.10)
  • bei Verbindungen keine Maschinenzertifikate verlangen

Empfehlungen zum Schutz

  1. Installieren Sie die Patches umgehend. Check Point hat Hotfixes für unterstützte Versionen veröffentlicht. Der Prioritätsgrad ist maximal, angesichts der bestätigten Ausnutzung.
  2. Deaktivieren Sie IKEv1 für Remote‑Zugriff. Wenn es die Geschäftsprozesse erlauben, stellen Sie alle VPN‑Verbindungen auf IKEv2 um. Dadurch wird der primäre Angriffsvektor beseitigt.
  3. Aktivieren Sie die Pflicht zur Verwendung eines Maschinenzertifikats. Dies ist eine der vier Voraussetzungen für die Ausnutzung – ihre Erfüllung blockiert den Angriff selbst auf nicht gepatchten Systemen.
  4. Deaktivieren Sie die Unterstützung veralteter Remote‑Access‑Clients. Wenn keine veralteten Clients genutzt werden, schließt die Deaktivierung ihrer Unterstützung eine weitere notwendige Bedingung für den Angriff.
  5. Führen Sie ein Audit der VPN‑Logs durch. Prüfen Sie die Protokolle auf ungewöhnliche VPN‑Sitzungen seit Mai 2026, insbesondere Verbindungen von VPS‑Providern sowie Versuche, ELF‑Dateien nach Aufbau der Sitzung herunterzuladen.
  6. Für Systeme mit abgelaufenem Support – planen Sie eine dringende Migration auf unterstützte Versionen. Beschränken Sie bis dahin den Zugriff auf das VPN‑Gateway nach IP‑Adressen oder deaktivieren Sie den Remote‑Zugang über IKEv1.

Organisationen, die Check Point VPN mit dem Protokoll IKEv1 einsetzen, sollten die Installation der Hotfixes als Aufgabe für Stunden, nicht Tage betrachten. Parallel dazu ist zu prüfen, ob die vier Ausnutzungsvoraussetzungen erfüllt sind, und mindestens eine davon sollte auf Konfigurationsebene beseitigt werden – das gewährleistet Schutz selbst bei Verzögerungen bei der Patch‑Installation. Die langfristige Empfehlung lautet: vollständiger Verzicht auf IKEv1 zugunsten von IKEv2, wodurch eine ganze Klasse von Angriffen ausgeschlossen wird, die mit dem veralteten Protokoll zusammenhängen.

Foto des Autors

CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.

CyberSecureFox

© 2026 INFO

Über uns

Über CyberSecureFox

Autoren

Kontakt

Redaktion

Redaktionelle Standards

Korrekturen

Rechtliches

Datenschutzerklärung

Nutzungsbedingungen