Check Point Research heeft een actief misbruikte kwetsbaarheid ontdekt in Remote Access VPN- en Mobile Access-omgevingen die het verouderde IKEv1-protocol gebruiken. Door een logicafout in de certificaatvalidatie kunnen aanvallers zonder een geldig wachtwoord een externe VPN-sessie opzetten. Deze kwetsbaarheid, geregistreerd als CVE-2026-50751, werd aan het licht gebracht na een onderzoek dat op 4 juni 2026 werd gestart naar aanleiding van verdachte activiteiten.

De fout zit specifiek in de VPN-functionaliteit van Check Point-producten die zijn geconfigureerd met het IKEv1-sleuteluitwisselingsprotocol. Hoewel aanvallers na de initiële toegang aanvullende acties moeten uitvoeren om interne resources te bereiken of rechten te escaleren, zijn de eerste aanvalspogingen al terug te voeren tot 7 mei 2026. De activiteit nam begin juni duidelijk toe. In één geval werd post-compromisactiviteit waargenomen die wordt toegeschreven aan een gelieerde partij van de Qilin-ransomwaregroep. Deze groep is in 2026 een van de meest actieve ransomware-actoren en registreerde in het eerste kwartaal meer slachtoffers dan de onderste vijftig ransomwaregroepen samen, aldus Check Point Research. Onderzoekers van MoxFive documenteerden in 2026 al meer dan vijfhonderd Qilin-slachtoffers.

Tijdens het onderzoek met het agentic applicatiebeveiligingsplatform BLAST ontdekte Check Point Research een tweede kwetsbaarheid, CVE-2026-50752. Deze betreft eveneens certificaatvalidatie in het IKEv1-protocol en kan onder bepaalde omstandigheden man-in-the-middle-aanvallen op site-to-site VPN-communicatie mogelijk maken. Voor deze tweede kwetsbaarheid is nog geen actief misbruik vastgesteld, maar Check Point adviseert klanten ook hiervoor de beschikbare updates te installeren.

De dreigingsactor achter CVE-2026-50751 maakt naar schatting ook gebruik van VPN-kwetsbaarheden bij andere leveranciers zoals Palo Alto, Fortinet en F5. De gebruikte infrastructuur voor communicatie en hosting sluit soms aan bij de locaties van de slachtoffers, waarbij onder meer VPS-providers als Kaupo Cloud HK, Shock Hosting en Vultr Holdings worden ingezet. Check Point benadrukt het belang van tijdige patching om misbruik te voorkomen.