Check Point heeft kritieke lekken verholpen in zijn Remote Access- en Mobile Access‑VPN’s. Het gaat specifiek om implementaties die nog draaien op het verouderde IKEv1‑protocol. Twee kwetsbaarheden (CVE-2026-50751 en CVE-2026-50752) raakten de authenticatie en certificaatvalidatie, waardoor aanvallers zonder geldige inloggegevens toch een VPN‑sessie konden opzetten. Voor CVE‑2026‑50751 is misbruik in het wild vastgesteld; Check Point koppelt één incident aan ransomware‑plaatsing. Het eerste gedetecteerde misbruik dateert van 7 mei 2026. Op 8 juni zijn beveiligingsupdates en mitigaties gepubliceerd. (blog.checkpoint.com)

Waarom dit ertoe doet

• CVE‑2026‑50751 is een authenticatie‑omzeiling (CVSS 9.3) in IKEv1‑configuraties van Check Point Remote Access, Mobile Access en Spark Firewalls. Aanvallers kunnen een VPN‑sessie opzetten zonder geldig wachtwoord doordat de certificaatcontrole in IKEv1 om de tuin te leiden is. De impact is “kritiek”, en de kwetsbaarheid is opgenomen in CISA’s Known Exploited Vulnerabilities‑catalogus, wat de urgentie onderstreept. (nvd.nist.gov)
• Tijdens het onderzoek vond Check Point een tweede issue (CVE‑2026‑50752, CVSS 7.4) in dezelfde IKEv1‑codepad. Dit kan onder specifieke omstandigheden een man‑in‑the‑middle‑aanval op site‑to‑site‑VPN’s mogelijk maken. Hiervoor is nog geen misbruik gezien, maar updates zijn wel beschikbaar. (blog.checkpoint.com)

Achtergrond en context

• IKEv1 wordt al jaren als legacy beschouwd. Overheidsinstanties adviseren organisaties om IKEv1 uit te faseren en uitsluitend IKEv2 te gebruiken. Dat verkleint zowel het aanvalsoppervlak als de kans op configuratiefouten. (ncsc.gov.uk)
• CISA markeerde CVE‑2026‑50751 op 8 juni 2026 als “known exploited” met een verplichte patch‑deadline voor federale instanties op 11 juni 2026. Ook al geldt die verplichting niet in Nederland, zo’n vermelding is een sterk signaal dat brede uitbuiting te verwachten is. (nvd.nist.gov)
• Check Point rapporteert dat tot nu toe enkele tientallen organisaties doelgericht zijn aangevallen. In één casus werd post‑exploitation‑activiteit gelinkt aan een Qilin‑ransomware‑affiliate. (blog.checkpoint.com)

Wat je nu moet doen

• Update onmiddellijk alle getroffen Security Gateways met de door Check Point uitgebrachte hotfix en volg de stappen in de support‑advisories (SK185033/SK185035). (blog.checkpoint.com)
• Schakel IKEv1 uit waar mogelijk en dwing IKEv2 af. Moet IKEv1 tijdelijk aan blijven? Vereis dan machinecertificaten voor Remote Access‑verbindingen en blokkeer legacy‑clients. (blog.checkpoint.com)
• Voer log‑ en configuratiecontroles uit vanaf 7 mei 2026 en let op ongebruikelijke of nieuwe VPN‑sessies, onverwachte account‑aanmaak en policy‑wijzigingen. (blog.checkpoint.com)
• Vergelijk netwerk‑ en proxylogs met de onderstaande IOC‑lijst en blokkeer overeenkomende indicatoren. (blog.checkpoint.com)

Getroffen producten (selectie)

• Remote Access VPN, Mobile Access en Spark Firewalls met IKEv1 ingeschakeld; diverse R80/R81/R82‑releases worden genoemd in de vendor‑advisory. Raadpleeg de exacte versies en configuraties in SK185033/SK185035. (blog.checkpoint.com)

Indicators of Compromise
IP-adressen

• 45.77.149[.]152
• 209.182.225[.]136
• 38.60.157[.]139
• 162.33.177[.]101
• 45.76.26[.]42
• 144.208.127[.]155
• 38.54.88[.]201
• 38.54.107[.]167
• 66.42.99[.]200 (blog.checkpoint.com)

Hashes

• 52fda5c1b9704544f32ee98d9060e689
• 51d39aa39478beeac94f2d12f682ecce (blog.checkpoint.com)

Kort gezegd: patchen, IKEv1 uitfaseren en je logs nalopen is nu prioriteit. Als je deze Check Point‑producten met IKEv1 inzet, wacht niet af: updates en mitigaties zijn beschikbaar en misbruik is al gaande. (blog.checkpoint.com)

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.