Check Point warnt: Angreifer umgehen VPN-Authentifizierung

Der Sicherheitssoftwareanbieter Check Point warnt vor Angriffen auf eine Sicherheitslücke in der VPN-Software des Unternehmens. Es stuft die Lücke als kritisches Sicherheitsrisiko ein und spricht von Handlungsbedarf seitens IT-Verantwortlicher.

In einem Blog-Beitrag erörtert Check Point die Schwachstelle und gibt Details zu den Angriffen bekannt. Das Unternehmen warnt, dass es Angriffe auf eine kritische Schwachstelle beobachtet hat, die die Umgehung der Authentifizierung ermöglicht (CVE-2026-50751, CVSS 9.3, Risiko „kritisch“). Bei dem Schlüsseltausch nach dem veralteten IKEv1 tritt demnach ein Logikfehler in Check Point Remote Access und Mobile Access bei der Zertifikatsprüfung auf. Nicht angemeldete bösartige Akteure aus dem Netz können das missbrauchen, um die Authentifizierung zu umgehen und eine VPN-Verbindung ohne gültiges Passwort aufzubauen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am Dienstagmorgen ebenfalls eine Warnung herausgegeben und nennt als betroffene Software Check Point Remote Access VPN, Mobile Access und Spark Firewall.

Angriffe von Ransomware-Bande

Check Point hat am Donnerstag vergangener Woche, den 4. Juni 2026, verdächtige Aktivitäten beobachtet. Die Untersuchung brachte ans Licht, dass die Schwachstelle bereits seit dem 7. Mai 2026 attackiert wurde. Anfang Juni haben die Angriffsversuche zugenommen, erklärt Check Point weiter.

Mit mittlerer Sicherheit ordnet Check Point die Angriffe der finanziell motivierten Ransomware-Bande Qilin zu, die anscheinend das „Tox-Protokoll“ für Angriffe nutzen. Die Angriffe gingen von einer Virtual Private Server (VPS)-Infrastruktur aus. Die Angreifer suchten zudem den Angriffszielen nahe gelegene VPS aus, so attackierten sie Ziele in Taiwan von einer taiwanesischen Infrastruktur aus. Nach erfolgreichen Angriffen haben die IT-Sicherheitsforscher zudem Qilin-Ransomware-Binärdateien gefunden und Download-Versuche von bösartigen ELF-Dateien aus von den Angreifern kontrollierter Infrastruktur beobachtet. Check Point glaubt, dass Qilin auch hinter den beobachteten Angriffen auf VPNs etwa von Palo Alto Networks oder Fortinet FortiClient EMS steckt.

Als Gegenmaßnahme nennt Check Point Software-Updates, allerdings findet sich auch ein Hinweis auf das Deaktivieren der Unterstützung für veraltete Remote-Access-Clientverbindungen in der Anleitung zur Aktualisierung betroffener Software.

Am Ende des Blog-Beitrags finden sich noch Hinweise auf Angriffe (Indicators of Compromise, IOC), mit denen Admins ihre Systeme auf Angriffsversuche untersuchen können. Bei der Untersuchung der angegriffenen Schwachstelle fiel den IT-Sicherheitsforschern noch ein weiterer sicherheitsrelevanter Fehler auf, CVE-2026-50752 (CVSS 7.4, Risiko „hoch“). Es handelt sich um einen ähnlichen Fehler, den Angreifer in einer Man-in-the-Middle-Position missbrauchen können, um VPN-Traffic abzufangen oder zu verändern. Auch dafür steht eine Update-Anleitung bereit.

(dmk)