Check Point VPN Zero-Day von Qilin-Ransomware ausgenutzt – CISA ordnet bundesweiten Patch bis zum 11. Juni an

Check Point Research bestätigte am 8. Juni, dass eine Zero-Day-Schwachstelle in ihren Remote Access VPN-Produkten – verfolgt als CVE-2026-50751 – aktiv ausgenutzt wird, wobei mindestens ein bestätigter Fall mit einem Anhänger der Qilin-Ransomware in Verbindung steht. Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) nahm den Fehler am selben Tag in ihren Katalog bekannter ausgenutzter Schwachstellen (KEV) auf und erließ eine verbindliche Anweisung, die US-Bundesbehörden dazu verpflichtet, den verfügbaren Hotfix bis zum 11. Juni anzuwenden – ein Zeitfenster von 72 Stunden, das den Schweregrad der Bedrohung widerspiegelt.

Bei der Schwachstelle handelt es sich um einen Authentifizierungs-Bypass, der Check Point Remote Access VPN-, Mobile Access- und Spark Firewall-Installationen betrifft, die für die Verwendung des veralteten IKEv1-Schlüsselaustauschprotokolls konfiguriert sind. Ein Angreifer, der den Fehler ausnutzt, kann eine vollständig authentifizierte VPN-Sitzung aufbauen, ohne über ein gültiges Benutzerpasswort zu verfügen, indem er einen Logikfehler im Zertifikatsvalidierungsprozess ausnutzt. Die Verbindung gelingt auf der VPN-Ebene; um interne Systeme zu erreichen, ist eine zusätzliche Ausnutzung nach der Verbindung erforderlich, aber der anfängliche Bypass entfernt das, was die erste harte Barriere gegen unbefugten Zugriff sein sollte.

Zeitplan und Umfang

Check Point gibt an, am 4. Juni 2026 erstmals verdächtige Aktivitäten festgestellt zu haben, aber forensische Beweise deuten darauf hin, dass die erste Ausnutzung bereits am 7. Mai begann. Die aktive Ausnutzung eskalierte Anfang Juni, als die Bedrohungsakteure das Fenster zwischen Entdeckung und öffentlicher Bekanntgabe erkannten. Zum Zeitpunkt der Warnung vom 8. Juni wurde die Ausnutzung bei einigen Dutzend Organisationen weltweit bestätigt. Nur ein Vorfall wurde definitiv einer Aktivität nach der Kompromittierung durch einen Anhänger der Qilin-Ransomware zugeschrieben – aber angesichts der operativen Geschwindigkeit von Qilin und der niedrigen Hürde für die Ausnutzung wird diese Zahl wahrscheinlich steigen.

Qilin ist ein Ransomware-as-a-Service-Betrieb, der seit mindestens 2022 aktiv ist und seine Angriffsrate in den Jahren 2025–2026 deutlich erhöht hat. Die Gruppe ist bekannt für doppelte Erpressung – Verschlüsselung von Dateien bei gleichzeitiger Exfiltration von Daten als Druckmittel bei Lösegeldverhandlungen. Ihre Anhänger zielen regelmäßig auf VPN- und Remote-Access-Infrastruktur als ersten Zugangsvektor ab, was CVE-2026-50751 zu einer natürlichen Ergänzung ihres Playbooks macht.

Eine zweite Schwachstelle im selben Codepfad gefunden

Während ihrer Untersuchung von CVE-2026-50751 nutzte das Forschungsteam von Check Point seine agentische Code-Sicherheitsplattform BLAST, um eine erweiterte Prüfung der betroffenen VPN-Komponenten durchzuführen. Diese Überprüfung brachte eine zweite Schwachstelle zutage: CVE-2026-50752, bewertet mit CVSS 7,4. Dieser Fehler liegt ebenfalls im veralteten IKEv1-Zertifikatsvalidierungs-Codepfad und könnte es einem Man-in-the-Middle-Angreifer unter bestimmten Konfigurationen ermöglichen, Site-to-Site-VPN-Kommunikationen zu stören. Check Point hat keine aktive Ausnutzung von CVE-2026-50752 beobachtet, hat es aber proaktiv im selben Hotfix-Paket behoben.

Das IKEv1-Protokoll wurde vor Jahren von der IETF zugunsten von IKEv2 abgekündigt, und seine Präsenz als Ursache beider Schwachstellen unterstreicht ein wiederkehrendes Muster in der Unternehmenssicherheit: Die aus Kompatibilitätsgründen beibehaltene Unterstützung veralteter Protokolle wird zu einer dauerhaften Angriffsfläche. Organisationen, die IKEv1 in ihren Check Point-Umgebungen deaktiviert haben, sind von keinem der CVEs betroffen.

Betroffene Produkte und Hotfixes

Die Schwachstelle betrifft Check Point-Produkte, die mit Remote Access VPN oder Mobile Access konfiguriert sind und IKEv1-Verbindungen akzeptieren oder Legacy-Remote-Access-Clients ohne Maschinenzertifikat akzeptieren. Check Point hat Hotfixes für alle unterstützten Produktlinien veröffentlicht. BleepingComputer und SecurityWeek berichten, dass das Unternehmen auch Abhilfemaßnahmen für Organisationen bereitgestellt hat, die den Patch nicht sofort anwenden können – hauptsächlich die Deaktivierung der Legacy-Client-Akzeptanz und von IKEv1 in der VPN-Gateway-Konfiguration.

Administratoren sollten dies als Notfall-Patch behandeln, nicht als planmäßige Wartung. Die öffentliche Verfügbarkeit eines CISA-KEV-Eintrags und die bestätigte Verbindung zu Ransomware bedeuten, dass Exploit-Code in den kommenden Tagen wahrscheinlich breiter in Bedrohungsakteur-Communities geteilt wird. Organisationen mit internetfähiger Check Point VPN-Infrastruktur, die den Hotfix noch nicht angewendet haben, sollten dies vor dem Wochenende tun.