Sicherheit & Cyberabwehr

Kritische Check Point VPN-Schwachstelle aktiv ausgenutzt

02.07.2026 5 Min. Lesezeit
Alle Artikel

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 9. Juni 2026 einen Sicherheitshinweis mit der Kritikalität Gelb (Stufe 2 von 4) veröffentlicht. Der Auslöser: eine aktiv ausgenutzte Schwachstelle in Check Point Remote Access VPN und Mobile Access, die es Angreifern erlaubt, VPN-Verbindungen ohne gültiges Passwort aufzubauen.

Wenn Sie Check Point VPN-Lösungen betreiben, müssen Sie jetzt handeln.


Was steckt dahinter?

Am 8. Juni 2026 hat Check Point ein Advisory zu CVE-2026-50751 veröffentlicht. Die Schwachstelle steckt in einem Logikfehler bei der Zertifikatsüberprüfung im veralteten IKEv1-Schlüsselaustausch. Mit einem CVSS-Score von 9.3 wird sie als kritisch eingestuft.

Das Ergebnis: Ein entfernter Angreifer kann die Nutzer-Authentifizierung vollständig umgehen und eine VPN-Verbindung aufbauen, ohne das Passwort zu kennen. Kein Phishing, kein Credential-Leak nötig – die Schwachstelle allein reicht.

Im Zuge der Untersuchung wurde außerdem eine zweite Schwachstelle entdeckt: CVE-2026-50752 (CVSS 7.4). Diese betrifft ebenfalls IKEv1 und ermöglicht einem Angreifer mit Man-in-the-Middle-Position, Site-to-Site-VPN-Verbindungen mitzulesen oder zu manipulieren.


Wer ist betroffen?

Betroffen sind:

  • Check Point Remote Access VPN und Mobile Access / SSL VPN

  • Spark Firewalls mit aktiviertem (veraltetem) IKEv1-Schlüsselaustausch

Die Schwachstelle greift, wenn alle der folgenden Bedingungen zutreffen:

  • VPN-Fernzugriff oder mobiler Zugriff ist aktiviert

  • IKEv1 ist für den Fernzugriff aktiv

  • Gateways akzeptieren ältere Fernzugriffsclients

  • Gateways verlangen kein Computerzertifikat für Verbindungen

Betroffene Gateway-Versionen (CVE-2026-50751):

  • R82.10 Jumbo Hotfix Take 19 oder älter

  • R82 Jumbo Hotfix Take 103 oder älter

  • R81.20 Jumbo Hotfix Take 141 oder älter

  • R81.10, R81, R80.40, R80.20.X (alle End-of-Support)

  • Spark Firewalls: R81.10.X und R82.00.X


Seit wann läuft das?

Laut Hersteller wird die Schwachstelle seit Anfang Mai 2026 aktiv ausgenutzt. Angreifer haben sich damit in den vergangenen Wochen Zugang zu internen Netzwerken verschiedener Organisationen verschafft. In mindestens einem Fall konnten Aktivitäten einem Qilin-Ransomware-Affiliate zugeordnet werden.

Für den Angriff nutzten die Angreifer VPS-Infrastruktur bei Hostern wie Kaupo Cloud HK, Shock Hosting und Vultr Holdings. Dadurch hatten die Angreifer-IPs in einigen Fällen denselben Ländercodebereich wie die angegriffenen Organisationen – klassische Verschleierungstaktik.


Was müssen Sie jetzt tun?

1. Patches einspielen

Check Point hat Hotfixes für beide Schwachstellen veröffentlicht. Details und Download-Links finden Sie direkt beim Hersteller:

2. Workarounds aktivieren (wenn Patch nicht sofort möglich)

Für CVE-2026-50751 gibt es drei Optionen:

  • Option 1: Unterstützung für ältere Remote-Access-Clients deaktivieren

  • Option 2: Globale Authentifizierungseinstellungen auf ausschließlich IKEv2 umstellen

  • Option 3: Maschinenzertifikats-Authentifizierung als Pflicht setzen

Für CVE-2026-50752: Alle VPN-Communities so konfigurieren, dass nur noch IKEv2 verwendet wird.

3. Auf Kompromittierung prüfen

Wer die betroffene Konfiguration seit Anfang Mai 2026 betrieben hat, sollte die Logs gründlich untersuchen. Konkret:

  • Logs per SmartConsole nach IKE-Ereignissen „Key Install" und „Quick" durchsuchen

  • Verbindungen von bekannten Angreifer-IPs prüfen (siehe unten)

  • Auffällige VPS-Adressen und geografische Anomalien identifizieren

Check Point stellt im Advisory CP26a eine aktuelle Liste an Indicators of Compromise (IoCs) bereit.


Bekannte Angreifer-IPs (Stand: 09.06.2026)

45.77.149[.]152209.182.225[.]13638.60.157[.]139162.33.177[.]10145.76.26[.]42144.208.127[.]15538.54.88[.]20138.54.107[.]16766.42.99[.]200

Bekannte Datei-Hashwerte (MD5):

52fda5c1b9704544f32ee98d9060e68951d39aa39478beeac94f2d12f682ecce

Fazit

Exponierte Perimetersysteme sind immer ein bevorzugtes Angriffsziel. CVE-2026-50751 ist dabei besonders heikel, weil keine Credentials kompromittiert werden müssen. Die Angriffe laufen seit Wochen – und werden mit Sicherheit weitergehen, sobald weitere Akteure die Schwachstelle aufgreifen. Technische Details und Exploits sind noch nicht öffentlich, aber das ist nur eine Frage der Zeit.

Patch einspielen, Workaround aktivieren, Logs prüfen. In dieser Reihenfolge, so schnell wie möglich.