CISA gibt Bundesbehörden drei Tage Zeit, um Zero-Day in der Check Point VPN zu beheben, der vom Qilin ausgenutzt wird

Die CISA hat in der Nacht zu Sonntag (8.) die CVE-2026-50751 in ihr Verzeichnis der Bekannten Ausgenutzten Schwachstellen aufgenommen und eine Frist bis zum 11. Juni gesetzt, damit die Behörden des Federal Civilian Executive Branch den Hotfix von Check Point anwenden, was ein Zeitfenster von nur drei Werktagen darstellt. Die Schwachstelle, die einen CVSS von 9,3 hat, ist ein Authentifizierungs-Bypass in der Remote Access VPN und der Mobile Access von Check Point, wenn sie über das Protokoll IKEv1 konfiguriert sind, das als obsolet gilt. Ein externer Angreifer kann eine VPN-Session ohne gültiges Passwort einrichten, indem er eine logische Schwäche in der Zertifikatsvalidierung ausnutzt.

Check Point selbst bestätigte in einer Mitteilung, dass die aktive Ausnutzung am 7. Mai begann, bevor der Patch überhaupt existierte, und dass der Höhepunkt der verdächtigen Indikatoren am 4. Juni auftrat. Der Anbieter identifizierte während der Untersuchung auch eine zweite Schwachstelle, CVE-2026-50752, die die Zertifikatsvalidierung bei site-to-site-Kommunikationen über IKEv1 betrifft und unter bestimmten Bedingungen Man-in-the-Middle-Interferenzen ermöglichen kann.

Qilin: die aktivste Ransomware-Gruppe des Quartals

Die Zuordnung kam nicht von Drittanbieter-Telemetrie. Check Point gab an, in mindestens einem Fall nach einer Kompromittierung Aktivitäten festgestellt zu haben, die mit einem Affiliate des Qilin in Verbindung stehen, einer Gruppe, die sich als die aktivste Ransomware-Operation in drei aufeinanderfolgend Quartalen herauskristallisiert hat. Daten des ersten Quartals 2026 verzeichnen 338 Opfer, die vom Qilin auf der Leak-Website veröffentlicht wurden, und die kumulative Zahl für das Jahr überschreitet bereits 500. Die Fertigungsindustrie hat 291 Opfer, Unternehmensdienstleistungen 245 und das Gesundheitswesen 168, gemäß der PurpleOps-Datenbank. Zwischen dem 2. und dem 5. Juni forderte das Kollektiv 15 neue Opfer in neun Ländern, mit Präsenz im Gesundheitswesen, Gastgewerbe, der Fertigung, Verbraucherdiensten und kritischer Infrastruktur.

Die von Check Point Research kartierte Angriffsstruktur läuft auf VPS von Kaupo Cloud HK, Shock Hosting und Vultr Holdings, alles kommerzielle Anbieter, die dezentrale Zahlungen akzeptieren. Bis zum Abschluss dieses Berichts meldete Check Point, dass "einige Dutzend" Organisationen weltweit betroffen sind. Keine Opfer wurden öffentlich vom Anbieter benannt, und keine der Organisationen, die während des Ausnutzungszeitraums auf der Leak-Website von Qilin aufgeführt wurden, hat sich geäußert, um den Vorfall direkt mit der CVE-2026-50751 in Verbindung zu bringen.

Wer ist betroffen

Der Patch deckt Security Gateways in den Serien R82.10 (Jumbo Hotfix Take 19 oder älter), R82 (Take 103 oder älter) und R81.20 (Take 141 oder älter) ab, sowie Spark Firewalls in den Versionen R80.20.X, R81.10.X und R82.00.X. Check Point hat die Hotfixes über die Security Knowledge Base SK185033 bereitgestellt und empfohlen, parallel dazu IKEv1 zugunsten von IKEv2 in den Konfigurationen für Remote Access und Mobile Access zu deaktivieren. Für Kunden, die IKEv1 aus Kompatibilitätsgründen mit einem Legacy-VPN-Client beibehalten, schlägt der Anbieter vor, den Dienst vorübergehend zu isolieren, bis der Fix angewendet wird.

Die geografische Risikobewertung entfaltet sich in zwei Achsen. In den Vereinigten Staaten, wo die CISA Zwangsmaßnahmen gegenüber dem FCEB aufrechterhält, schaffen die Frist bis zum 11. Juni unmittelbare betriebliche Belastungen für Bundesbehörden und die Auftragnehmer der Verteidigungsindustrie, die Check Point an der Peripherie betreiben. In Europa, wo ENISA nicht über vergleichbare Notfallbefugnisse verfügt, fällt die Verantwortung auf die Berichterstattung gemäß der GDPR, falls personenbezogene Daten betroffen sind, und auf die NIS2 für Betreiber essenzieller Dienstleistungen. Deutsche und französische Unternehmen mit Niederlassungen in Brasilien, die eine zentralisierte Unternehmens-VPN in Tel Aviv oder Frankfurt über Check Point Appliances betreiben, müssen prüfen, ob IKEv1 an irgendeinem Punkt in der Topologie aktiviert ist: Der Vektor ist remote und erfordert keine Benutzerinteraktion.

Das Zeitfenster zwischen dem 7. Mai und dem Hotfix beträgt 32 Tage Ausnutzung ohne Patch, ein Muster, das sich bei Schwachstellen in Edge-Geräten in den letzten 18 Monaten wiederholt. Ivanti, Fortinet, Citrix NetScaler, Palo Alto Networks und nun Check Point: die Unternehmensperipherie ist zur bevorzugten Eintrittstür für Ransomware geworden, und die durchschnittliche Zeit zwischen der ersten Ausnutzung und der Offenlegung sinkt stetig. CISOs, die weiterhin die VPN-Appliances als stabile und risikoarme Infrastruktur behandeln, lesen den Markt falsch. Der Qilin war nicht der erste, der diese Tür nutzte, und er wird nicht der letzte sein.