Im Kern geht es bei CVE-2026-50751 um einen Fehler in der Zertifikatsprüfung. Laut Check Point kann ein Angreifer dadurch eine VPN-Sitzung aufbauen, ohne über ein gültiges Passwort zu verfügen, und so die Authentifizierung umgehen. Für den Zugriff auf interne Ressourcen oder eine Rechteausweitung seien danach allerdings weitere Schritte nach der Anmeldung erforderlich, wie das Unternehmen in einem Blogbeitrag erläutert.

Zeitgleich hat Check Point auch CVE-2026-50752 veröffentlicht. Diese Schwachstelle beschreibt der Hersteller als eine Bedingung in der Zertifikatsvalidierung von IKEv1, die einen Man-in-the-Middle-Angriff auf VPN-Site-to-Site-Verbindungen ermöglichen kann. Ihr CVSS-Wert liegt bei 7,4.

Nach Einschätzung von Check Point ist derzeit vor allem CVE-2026-50751 relevant, weil sie aktiv ausgenutzt wird. Check Point Research teilte mit, einen Fall bestätigt zu haben, bei dem Aktivitäten nach der Kompromittierung mit einem Affiliate der Ransomware-Gruppe Qilin in Verbindung standen. Der mutmaßliche Angreifer sei finanziell motiviert und nutze auch andere VPN-bezogene Schwachstellen aus, darunter veröffentlichte Lücken bei Palo Alto, Fortinet und F5.

Darüber hinaus beobachtete Check Point Hinweise darauf, dass der Angreifer Tox zur Kommunikation einsetzen könnte, ein grundsätzlich legitimes Open-Source-Peer-to-Peer-Protokoll. Außerdem sei für die Angriffe dedizierte VPS-Infrastruktur verwendet worden.

Betroffen sind bei beiden Schwachstellen dieselben Produktversionen. Genannt werden Security Gateways R82.10 Jumbo Hotfix Take 19 oder niedriger, R82 Jumbo Hotfix Take 103 oder niedriger, R81.20 Jumbo Hotfix Take 141 oder niedriger sowie die nicht mehr unterstützten Versionen R81.10, R81 und R80.40. Bei den Spark Firewalls nennt Check Point R80.20.X, R81.10.X und R82.00.X, wobei R80.20.X ebenfalls als nicht mehr unterstützt geführt wird.

Check Point fordert Kunden auf, die Hotfixes so schnell wie möglich einzuspielen. Auf den Support-Seiten zu CVE-2026-50751 und CVE-2026-50752 stellt der Hersteller zudem alternative Gegenmaßnahmen und Angriffserkennungsmerkmale bereit. Diese Gegenmaßnahmen laufen im Wesentlichen darauf hinaus, die VPN-Verschlüsselung ausschließlich auf IKEv2 umzustellen. Für CVE-2026-50751 nennt Check Point zusätzlich das Entfernen der Unterstützung für ältere Remote-Access-Client-Verbindungen oder die verpflichtende Vorgabe der Authentifizierung per Maschinenzertifikat.

Nach Angaben des Unternehmens wurde die bösartige Aktivität erstmals am 4. Juni erkannt. Als frühestes beobachtetes Ausnutzungsdatum konnte Check Point den 7. Mai ermitteln. Zugleich habe die Ausnutzung nach den eigenen Beobachtungen Anfang Juni zugenommen. Einsatzteams für die Reaktion auf Sicherheitsvorfälle sollten deshalb forensische Protokollprüfungen und Konfigurationsüberprüfungen ab dem frühesten beobachteten Ausnutzungsdatum vom 7. Mai 2026 priorisieren, heißt es in dem Blogbeitrag.

Ein Sprecher von Check Point Research sagte gegenüber Dark Reading, trotz der rund vier Wochen Abstand habe es keine Verzögerung bei der Veröffentlichung gegeben. Das Team habe die Untersuchung begonnen, nachdem sich eine kleine Zahl von Kunden an das Unternehmen gewandt hatte, und dann rückwirkend analysiert. Die meisten Versuche seien erst in den jüngsten Tagen erfolgt, nicht schon in den Wochen davor. Auf die Frage, wie viele Kunden überhaupt IKEv1 einsetzen, erklärte Check Point Research, es seien nicht viele. Die Konfiguration beruhe auf Altlasten und dem veralteten IKEv1-Protokoll; daher sei die Zahl potenziell verwundbarer Installationen klein, was ein Grund dafür sein könne, dass nur wenige Kunden gezielt angegriffen wurden.