#Netzwerk & Sicherheit · 3 Min. Lesezeit · Tim Rinkel

VPN-ALARM! Eine 9,3er-Lücke lässt Hacker JETZT ohne Passwort ins Firmennetz — patche sofort

VPN-ALARM! Eine 9,3er-Lücke lässt Hacker JETZT ohne Passwort ins Firmennetz — patche sofort

Wer ein Check-Point-VPN betreibt, sollte JETZT handeln. Der Sicherheitsanbieter hat am 8. Juni eine Warnung für eine kritische Lücke veröffentlicht, die bereits aktiv ausgenutzt wird. Über sie kommen Angreifer ohne gültiges Passwort ins Firmennetz.

GEFAHR: Login einfach übersprungen

Die Schwachstelle trägt die Kennung CVE-2026-50751 und hat einen CVSS-Wert von 9,3 — das ist „kritisch“. Schuld ist ein Logikfehler darin, wie das alte IKEv1-Protokoll Zertifikate prüft. Ein nicht angemeldeter Angreifer kann dadurch eine VPN-Sitzung aufbauen, ohne gültige Zugangsdaten einzugeben. Für den vollen Zugriff auf interne Systeme braucht es danach zwar noch weitere Schritte — der erste Riegel ist aber bereits gefallen.

SCHON IM EINSATZ: Spur führt zu Qilin-Ransomware

Check Point bestätigt aktive Angriffe seit mindestens dem 7. Mai 2026. Ein Fall wird mit mittlerer Sicherheit einem Partner der berüchtigten Qilin-Ransomware-Gruppe zugeschrieben. Bisher blieb es laut Hersteller bei einigen Dutzend gezielt angegriffenen Organisationen — die Gefahr ist also real, aber (noch) nicht flächendeckend.

Wer ist betroffen?

Verwundbar sind Installationen, die das veraltete IKEv1-Protokoll nutzen, bei denen das Gateway alte Remote-Access-Clients akzeptiert und kein Maschinen-Zertifikat zwingend verlangt. Betroffen sind Check Point Remote Access VPN, Mobile Access und Spark-Firewalls.

So rettest du dein Netz in wenigen Schritten

Check Point hat bereits Hotfixes bereitgestellt. Die wichtigsten Schritte:

  • Hotfix sofort einspielen — als Notfall-Update, nicht erst zum regulären Patchtag.
  • Wenn du nicht sofort patchen kannst: Unterstützung für den alten Remote-Access-Client entfernen.
  • Die VPN-Authentifizierung in den globalen Eigenschaften auf IKEv2-only umstellen.
  • Maschinen-Zertifikat zur Pflicht machen.

EXTRA-WARNUNG: Es gibt noch eine zweite Lücke

Bei der Untersuchung stieß Check Point auf eine verwandte Schwachstelle, CVE-2026-50752 (CVSS 7,4), im selben IKEv1-Code. Sie könnte unter bestimmten Bedingungen einen Man-in-the-Middle-Angriff auf Site-to-Site-Tunnel erlauben. Aktive Angriffe darauf wurden bisher nicht beobachtet — aber sie verschwindet mit demselben Hotfix.

FAZIT: Altes Protokoll, akute Gefahr

IKEv1 gilt seit Jahren als überholt. Dieser Fall zeigt, warum: Wer es noch einsetzt, sollte spätestens jetzt umstellen — und das Update nicht aufschieben.

Häufige Fragen

Welche Produkte und Versionen sind betroffen?
Betroffen sind Check Point Remote Access VPN, Mobile Access und Spark-Firewalls, die das veraltete IKEv1-Protokoll nutzen und kein Maschinen-Zertifikat erzwingen. Die genauen Versionsstände nennt Check Point im Security-Advisory.
Wie merke ich, ob mein Gateway verwundbar ist?
Prüfe, ob Remote Access oder Mobile Access IKEv1 zulassen und ob alte Clients ohne Maschinen-Zertifikat verbinden dürfen. Trifft beides zu, gilt dein System als angreifbar.
Wie behebe ich das Problem konkret?
Spiele den von Check Point bereitgestellten Hotfix als Notfall-Update ein. Wer nicht sofort patchen kann, entfernt alte Remote-Access-Clients, stellt auf IKEv2-only um und macht das Maschinen-Zertifikat zur Pflicht.
Gab es schon aktive Angriffe?
Ja. Check Point bestätigt Ausnutzung seit mindestens dem 7. Mai 2026; ein Fall wird mit mittlerer Sicherheit einem Qilin-Ransomware-Partner zugeordnet. Bisher waren einige Dutzend Organisationen gezielt betroffen.

Quellen:

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert