Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in Check Point Remote Access VPN, waardoor een ongeauthenticeerde aanvaller zonder geldig wachtwoord een vpn-verbinding kan opzetten, zo laat de leverancier zelf vandaag weten.Via de Check Point Remote Access VPN kunnen medewerkers op afstand op het bedrijfsnetwerk inloggen. Tientallen organisaties zijn via het beveiligingslek (CVE-2026-50752) in de vpn-oplossing aangevallen, aldus Check Point.

Beveiligingsupdates zijn inmiddels beschikbaar, maar het misbruik vond al voor het verschijnen van de patches plaats. Op basis van logbestanden blijkt dat de eerste aanvallen al op 7 mei werden uitgevoerd, waarbij er begin deze maand een toename zichtbaar was. Check Point zegt dat het op 4 juni verdacht gedrag waarnam en vervolgens een onderzoek startte. Dat leidde tot ontdekking van het beveiligingslek. Het cybersecuritybedrijf stelt dat tientallen klanten via de kwetsbaarheid zijn aangevallen.

Nadat de aanvallers een vpn-verbinding opzetten is verdere "post-authentication activity" vereist om toegang tot interne systemen te krijgen en rechten te verhogen. Bij één van de aangevallen organisaties werd de Qilin-ransomware uitgerold. "Gebaseerd op de post-exploitation activiteit die we hebben gezien, stellen we met gemiddeld vertrouwen vast dat de aanvaller achter het misbruik van CVE-2026-50752 financieel gemotiveerd is en de Qilin-ransomware gebruikt."

Organisaties worden opgeroepen om de beschikbaar gestelde update te installeren. Tevens zijn Indicators of Compromise (IoC's) gedeeld, zoals ip-adressen en hashes, waarmee organisaties kunnen kijken of hun systemen zijn gecompromitteerd.