Check Point Research heeft een actief misbruikte authenticatiekwetsbaarheid ontdekt in de Remote Access VPN- en Mobile Access-omgevingen die het verouderde IKEv1-protocol gebruiken. Via een logicafout in certificaatvalidatie kan een aanvaller inloggen zonder geldig wachtwoord. Een gelieerde partij van de Qilin-ransomwaregroep is al betrokken bij ten minste één incident.
Check Point Research is op 4 juni 2026 een onderzoek gestart na signalen van verdachte activiteit. Dat onderzoek bracht een actief misbruikte kwetsbaarheid aan het licht: CVE-2026-50751. De fout zit in de VPN Remote Access- en Mobile Access-functionaliteit van Check Point-producten wanneer deze zijn geconfigureerd met het verouderde IKEv1-sleuteluitwisselingsprotocol.
Door een logicafout in de certificaatvalidatie kan een aanvaller zonder geldig wachtwoord een externe VPN-sessie opzetten. Na die initiële toegang is aanvullende activiteit nodig om interne resources te bereiken of rechten te escaleren. De eerste bekende aanvalspogingen dateren van 7 mei 2026, maar de activiteit nam duidelijk toe in begin juni.
Qilin-ransomware al in beeld bij één incident
Tot nu toe zijn exploitatiepogingen beperkt gebleven tot enkele tientallen organisaties wereldwijd. Maar in één geval werd na de initiële toegang ook daadwerkelijke post-compromisactiviteit waargenomen die wordt toegeschreven aan een gelieerde partij van de Qilin-ransomwaregroep.
Check Point beoordeelt met gemiddeld vertrouwen dat de actor achter de aanvallen financieel gemotiveerd is. De groep gebruikt het Tox-protocol voor communicatie, een patroon dat vaker voorkomt bij ransomware-actoren, en maakt gebruik van dedicated virtual private server-infrastructuur bij providers als Kaupo Cloud HK, Shock Hosting en Vultr Holdings. De geolocatie van de gebruikte VPS-servers sluit soms aan bij de locatie van de slachtofferorganisaties. Zo werd voor aanvallen op organisaties in Taiwan ook infrastructuur gebruikt die in Taiwan was gehost.
Qilin is in 2026 een van de actiefste ransomwaregroepen. Volgens Check Point Research registreerde Qilin in Q1 2026 meer slachtoffers dan de onderste vijftig ransomwaregroepen samen. Security-onderzoekers van MoxFive documenteerden in 2026 al meer dan vijfhonderd Qilin-slachtoffers.
Tweede kwetsbaarheid ontdekt via AI-platform BLAST
Tijdens het onderzoek naar CVE-2026-50751 voerde Check Point Research een uitgebreide analyse uit met BLAST, het eigen agentic applicatiebeveiligingsplatform. Dat leidde tot de ontdekking van een tweede kwetsbaarheid: CVE-2026-50752. Die heeft ook betrekking op certificaatvalidatie in het verouderde IKEv1-protocol en kan onder specifieke omstandigheden man-in-the-middle-tussenkomst met site-to-site VPN-communicatie mogelijk maken.
Voor CVE-2026-50752 is nog geen actief misbruik waargenomen. Check Point adviseert klanten desondanks ook voor deze kwetsbaarheid de beschikbare updates te installeren. De dreigingsacteur achter CVE-2026-50751 maakt naar schatting van Check Point ook gebruik van VPN-kwetsbaarheden bij andere leveranciers, waaronder Palo Alto, Fortinet en F5.