Check Point waarschuwt voor kritieke VPN-authenticatiefout

In dit artikel:

Check Point Research ontdekte begin juni 2026 een actief misbruikte authenticatiekwetsbaarheid in Check Point’s Remote Access VPN- en Mobile Access-functionaliteit wanneer systemen zijn ingesteld met het verouderde IKEv1-sleuteluitwisselingsprotocol. Kernpunten:

- Wat: een logicafout in certificaatvalidatie (CVE-2026-50751) maakt het mogelijk om een externe VPN-sessie op te zetten zonder geldig wachtwoord. Na die toegang is aanvullende post-compromise-activiteit nodig om interne resources te bereiken of rechten te escaleren.
- Wanneer: het onderzoek startte op 4 juni 2026; eerste bekende aanvalspogingen dateren van 7 mei 2026 en namen begin juni toe.
- Wie: Check Point ontdekte het probleem; in minstens één geval leidde de initiële toegang tot vervolgactiviteiten die worden toegeschreven aan een gelieerde partij van de Qilin-ransomwaregroep. Check Point schat dat de aanvallers financieel gemotiveerd zijn.
- Waar/infrastructuur: exploitatiepogingen betroffen enkele tientallen organisaties wereldwijd. Aanvallers gebruikten Tox-communicatie en dedicated VPS-infrastructuur bij providers zoals Kaupo Cloud HK, Shock Hosting en Vultr; soms waren VPS-plaatsen geografisch gelinkt aan slachtoffers (bijv. Taiwan).
- Extra vondst: met het AI-platform BLAST ontdekte Check Point een tweede gerelateerde kwetsbaarheid (CVE-2026-50752) die in specifieke gevallen man-in-the-middle op site-to-site VPN-verkeer kan toelaten; daar is nog geen actief misbruik van waargenomen.
- Aanbeveling en context: Check Point raadt aan beschikbare updates te installeren. Aangezien IKEv1 verouderd is, verdienen het uitschakelen van IKEv1 en migratie naar IKEv2, plus controle van logs en zoektocht naar post-compromise-activiteiten, prioriteit. Qilin was in 2026 een van de meest actieve ransomwaregroepen, met honderden gedocumenteerde slachtoffers.