Check Point heeft bekendgemaakt dat er actief misbruik wordt gemaakt van een kritieke kwetsbaarheid in hun Remote Access VPN-oplossing. Door deze kwetsbaarheid (CVE-2026-50752) kunnen aanvallers zonder geldige inloggegevens een VPN-verbinding opzetten, waardoor zij toegang tot het bedrijfsnetwerk kunnen verkrijgen.

De Remote Access VPN wordt gebruikt om medewerkers op afstand toegang te geven tot het bedrijfsnetwerk. Volgens Check Point zijn tientallen organisaties via dit lek aangevallen. Hoewel er inmiddels beveiligingsupdates beschikbaar zijn, vonden de aanvallen al plaats voordat de patches werden uitgebracht. Analyse van logbestanden toont aan dat de eerste aanvallen op 7 mei begonnen en dat het aantal aanvallen begin juni toenam. Check Point ontdekte het lek na het waarnemen van verdacht gedrag op 4 juni en startte direct een onderzoek. Na het opzetten van een VPN-verbinding is verdere post-authenticatie-activiteit nodig om toegang tot interne systemen te verkrijgen en rechten te escaleren. Bij een van de getroffen organisaties werd de Qilin-ransomware ingezet. Check Point stelt met gemiddeld vertrouwen vast dat de aanvallers financieel gemotiveerd zijn en gebruikmaken van deze ransomware.

Organisaties worden dringend geadviseerd om de beschikbare updates zo snel mogelijk te installeren. Daarnaast heeft Check Point Indicators of Compromise (IoC's) vrijgegeven, waaronder IP-adressen en hashes, waarmee organisaties kunnen controleren of hun systemen zijn gecompromitteerd. Meer informatie over de kwetsbaarheid en de patch is te vinden in de security advisory van Check Point.