Check Point heeft gewaarschuwd voor actieve exploitatie van een kritieke kwetsbaarheid die gevolgen heeft voor Remote Access VPN- en Mobile Access-implementaties die zijn geconfigureerd om het verouderde IKEv1-sleuteluitwisselingsprotocol te gebruiken.
De kwetsbaarheid, bijgehouden als CVE-2026-50751 (CVSS-score: 9,3), is een geval van een zwakte in de logische stroom in de certificaatvalidatie waardoor een niet-geverifieerde externe aanvaller de gebruikersauthenticatie kan omzeilen en een VPN-verbinding voor externe toegang tot stand kan brengen zonder een geldig gebruikerswachtwoord.
“Door misbruik te maken van een logische fout in de certificaatvalidatie kan een aanvaller een VPN-sessie tot stand brengen zonder in het bezit te zijn van een geldig wachtwoord, waardoor de authenticatievereisten effectief worden omzeild”, aldus Check Point. “Extra post-authenticatieactiviteiten zijn vereist om toegang te krijgen tot interne bronnen of om bevoegdheden te escaleren.”
De tekortkoming is van invloed op de volgende producten en versies:
- Beveiligingsgateways R82.10 Jumbo Hotfix Take 19 of lager, R82 Jumbo Hotfix Take 103 of lager, R81.20 Jumbo Hotfix Take 141 of lager, R81.10 (EOS), R81 (EOS) en R80.40 (EOS)
- Spark-firewalls: R80.20.X (EOS), R81.10.X en R82.00.X
Succesvolle exploitatie vereist dat aan de volgende voorwaarden wordt voldaan:
- VPN Externe toegang of Mobiele toegang is ingeschakeld
- IKEv1 is ingeschakeld voor externe toegang
- Gateways accepteren oudere Remote Access-clients
- Gateways vereisen geen machinecertificaat voor verbindingen
Het Israëlische cyberbeveiligingsbedrijf zei dat het voor het eerst aanwijzingen van verdachte activiteiten had waargenomen op 4 juni 2026, waarbij de vroegst waargenomen uitbuiting dateerde van 7 mei 2026. De exploitatie-inspanningen zouden vanaf deze maand zijn toegenomen.
De uitbuitingsactiviteit, zo voegde Check Point eraan toe, is beperkt tot “enkele tientallen doelgerichte organisaties wereldwijd.” In één geval werd de post-exploitatiefase in verband gebracht met een Qilin-ransomwarepartner.
“Wij zijn van mening dat deze infrastructuur van bedreigingsactoren andere VPN-gerelateerde kwetsbaarheden uitbuit, zoals die gepubliceerd door Palo Alto (Networks), Fortinet en F5”, aldus het rapport. “We hebben indicatoren geïdentificeerd die erop wijzen dat de actor het Tox-protocol gebruikt voor communicatie, een patroon dat vaak wordt geassocieerd met financieel gemotiveerde ransomware-actoren.”
Een belangrijk aspect is het gebruik van een virtual private server (VPS)-infrastructuur om de aanvallen uit te voeren. Concreet betekent dit dat je moet vertrouwen op VPS-servers die in een bepaald land zijn geolokaliseerd om organisaties binnen de landsgrenzen te targeten. Nadat de toegang tot stand was gebracht, werden de aanvallers betrapt terwijl ze probeerden kwaadaardige ELF-bestanden te downloaden van een door actoren gecontroleerde infrastructuur.
Sommige aspecten van deze inspanningen overlappen met een rapport van Ctrl-Alt-Intel van vorige maand, waarin het misbruik door de ransomware-ploeg van zakelijke VPN-apparaten voor initiële toegang werd benadrukt.
Nader onderzoek van de getroffen VPN-componenten heeft een tweede kwetsbaarheid aan het licht gebracht, CVE-2026-50752 (CVSS-score: 7,40), die een Adversary-in-the-Middle (AitM)-aanval op VPN-site-to-site-verbindingen mogelijk maakt. Er is geen bewijs dat de fout is misbruikt bij aanvallen in de echte wereld.
