Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 9. Juni 2026 einen Sicherheitshinweis mit der Kritikalität Gelb (Stufe 2 von 4) veröffentlicht. Der Auslöser: eine aktiv ausgenutzte Schwachstelle in Check Point Remote Access VPN und Mobile Access, die es Angreifern erlaubt, VPN-Verbindungen ohne gültiges Passwort aufzubauen.
Wenn Sie Check Point VPN-Lösungen betreiben, müssen Sie jetzt handeln.
Was steckt dahinter?
Am 8. Juni 2026 hat Check Point ein Advisory zu CVE-2026-50751 veröffentlicht. Die Schwachstelle steckt in einem Logikfehler bei der Zertifikatsüberprüfung im veralteten IKEv1-Schlüsselaustausch. Mit einem CVSS-Score von 9.3 wird sie als kritisch eingestuft.
Das Ergebnis: Ein entfernter Angreifer kann die Nutzer-Authentifizierung vollständig umgehen und eine VPN-Verbindung aufbauen, ohne das Passwort zu kennen. Kein Phishing, kein Credential-Leak nötig – die Schwachstelle allein reicht.
Im Zuge der Untersuchung wurde außerdem eine zweite Schwachstelle entdeckt: CVE-2026-50752 (CVSS 7.4). Diese betrifft ebenfalls IKEv1 und ermöglicht einem Angreifer mit Man-in-the-Middle-Position, Site-to-Site-VPN-Verbindungen mitzulesen oder zu manipulieren.
Wer ist betroffen?
Betroffen sind:
Check Point Remote Access VPN und Mobile Access / SSL VPN
Spark Firewalls mit aktiviertem (veraltetem) IKEv1-Schlüsselaustausch
Die Schwachstelle greift, wenn alle der folgenden Bedingungen zutreffen:
VPN-Fernzugriff oder mobiler Zugriff ist aktiviert
IKEv1 ist für den Fernzugriff aktiv
Gateways akzeptieren ältere Fernzugriffsclients
Gateways verlangen kein Computerzertifikat für Verbindungen
Betroffene Gateway-Versionen (CVE-2026-50751):
R82.10 Jumbo Hotfix Take 19 oder älter
R82 Jumbo Hotfix Take 103 oder älter
R81.20 Jumbo Hotfix Take 141 oder älter
R81.10, R81, R80.40, R80.20.X (alle End-of-Support)
Spark Firewalls: R81.10.X und R82.00.X
Seit wann läuft das?
Laut Hersteller wird die Schwachstelle seit Anfang Mai 2026 aktiv ausgenutzt. Angreifer haben sich damit in den vergangenen Wochen Zugang zu internen Netzwerken verschiedener Organisationen verschafft. In mindestens einem Fall konnten Aktivitäten einem Qilin-Ransomware-Affiliate zugeordnet werden.
Für den Angriff nutzten die Angreifer VPS-Infrastruktur bei Hostern wie Kaupo Cloud HK, Shock Hosting und Vultr Holdings. Dadurch hatten die Angreifer-IPs in einigen Fällen denselben Ländercodebereich wie die angegriffenen Organisationen – klassische Verschleierungstaktik.
Was müssen Sie jetzt tun?
1. Patches einspielen
Check Point hat Hotfixes für beide Schwachstellen veröffentlicht. Details und Download-Links finden Sie direkt beim Hersteller:
2. Workarounds aktivieren (wenn Patch nicht sofort möglich)
Für CVE-2026-50751 gibt es drei Optionen:
Option 1: Unterstützung für ältere Remote-Access-Clients deaktivieren
Option 2: Globale Authentifizierungseinstellungen auf ausschließlich IKEv2 umstellen
Option 3: Maschinenzertifikats-Authentifizierung als Pflicht setzen
Für CVE-2026-50752: Alle VPN-Communities so konfigurieren, dass nur noch IKEv2 verwendet wird.
3. Auf Kompromittierung prüfen
Wer die betroffene Konfiguration seit Anfang Mai 2026 betrieben hat, sollte die Logs gründlich untersuchen. Konkret:
Logs per SmartConsole nach IKE-Ereignissen „Key Install" und „Quick" durchsuchen
Verbindungen von bekannten Angreifer-IPs prüfen (siehe unten)
Auffällige VPS-Adressen und geografische Anomalien identifizieren
Check Point stellt im Advisory CP26a eine aktuelle Liste an Indicators of Compromise (IoCs) bereit.
Bekannte Angreifer-IPs (Stand: 09.06.2026)
45.77.149[.]152209.182.225[.]13638.60.157[.]139162.33.177[.]10145.76.26[.]42144.208.127[.]15538.54.88[.]20138.54.107[.]16766.42.99[.]200Bekannte Datei-Hashwerte (MD5):
52fda5c1b9704544f32ee98d9060e68951d39aa39478beeac94f2d12f682ecceFazit
Exponierte Perimetersysteme sind immer ein bevorzugtes Angriffsziel. CVE-2026-50751 ist dabei besonders heikel, weil keine Credentials kompromittiert werden müssen. Die Angriffe laufen seit Wochen – und werden mit Sicherheit weitergehen, sobald weitere Akteure die Schwachstelle aufgreifen. Technische Details und Exploits sind noch nicht öffentlich, aber das ist nur eine Frage der Zeit.
Patch einspielen, Workaround aktivieren, Logs prüfen. In dieser Reihenfolge, so schnell wie möglich.