CISA giver føderale myndigheder 3 dage til at patche CVE-2026-50751 i Check Point VPN. Qilin-ransomwaregruppen har udnyttet fejlen siden 7. maj 2026.
Foto: mehdi lamaaffar / Unsplash
Den amerikanske cybersikkerhedsmyndighed CISA beordrede den 8. juni 2026 alle føderale civile myndigheder til at patche en kritisk sårbarhed i Check Point VPN inden for tre dage — senest den 11. juni 2026. Sårbarheden, sporet som CVE-2026-50751, er allerede aktivt udnyttet af en affilieret aktør til Qilin-ransomwaregruppen, og angreb er dokumenteret siden den 7. maj 2026.
CISA tilføjede CVE-2026-50751 til sin Known Exploited Vulnerabilities (KEV) Catalog under Binding Operational Directive (BOD) 22-01, der forpligter føderale myndigheder til at afhjælpe kendte udnyttede sårbarheder inden for fastsatte frister. Ifølge BleepingComputer udtalte CISA: "This type of vulnerability is a frequent attack vector for malicious cyber actors and poses significant risks to the federal enterprise."
Sårbarheden er en autentificeringsomgåelse i Check Points Remote Access VPN og Mobile Access SSL VPN. Den rammer specifikt installationer, der bruger den forældte IKEv1-nøgleudvekslingsprotokol — og som ikke kræver et maskin-certifikat for forbindelser.
Teknisk set udnytter angribere en logikfejl i certifikatvalideringen: ved at sende ondsindet formede IKEv1-pakker kan en uautoriseret angrebet omgå password-kravet fuldstændig og etablere en VPN-forbindelse som en legitim bruger. Ingen gyldigt kodeord kræves.
Sårbare produkter inkluderer Check Points Security Gateways i firmwareversioner R80.40 til R82.10, Spark-firewalls på R80.20.X, R81.10.X og R82.00.X, samt Mobile Access-løsninger. CVSS-scoren er 9,3 ud af 10 — betegnet som kritisk.
Check Point har desuden identificeret en anden sårbarhed, CVE-2026-50752, der muliggør man-in-the-middle-angreb på site-to-site VPN-kommunikation under bestemte betingelser. Begge sårbarheder er dækket af Hotfix SK185033.
Qilin er en Ransomware-as-a-Service (RaaS)-operation, der har været aktiv siden mindst august 2022. Gruppen opererer med et affilieret netværk, hvor partnere bruger Qilins infrastruktur og krypteringsværktøjer mod et procentuelt af løsesummen.
Siden opstarten har Qilin ifølge sikkerhedsforskere stået bag angreb mod over 400 ofre globalt, herunder offentlige myndigheder, finansinstitutioner og sundhedsudbydere. I den konkrete CVE-2026-50751-sag bekræfter Check Point, at en Qilin-affilieret aktør udnyttede sårbarheden som zero-day — dvs. inden en patch eksisterede — fra den 7. maj 2026. Angrebene eskalerede markant i starten af juni, sandsynligvis fordi fejlen blev mere udbredt kendt i cyberkriminelle kredse.
Ifølge The Hacker News er det hidtil bekræftet, at et par dusin organisationer globalt er blevet kompromitteret via denne sårbarhed. I mindst ét tilfælde resulterede angrebet i bekræftet ransomware-aktivitet.
Check Point har udgivet en nødpatch, der kan hentes fra Check Points Security Knowledge Base SK185033. CISA opfordrer kraftigt alle organisationer — ikke kun amerikanske statsorganer — til at implementere rettelsen hurtigst muligt.
Kan patchen ikke installeres med det samme, anbefaler Check Point følgende midlertidige tiltag:
For virksomheder, der bruger Check Point firewalls til fjernarbejde — hvilket er meget udbredt efter coronaårenes acceleration af hjemmearbejde — er det afgørende at handle inden for timer, ikke dage. Den tredages frist er sat for statslige myndigheder, men truslen gælder privatsektoren på samme vilkår.
Danske organisationer, der bruger Check Point VPN-produkter, bør kontakte deres it-leverandør eller Check Points supportlinje for at verificere, om de berørte versioner er i brug, og få installeret Hotfix SK185033 hurtigst muligt.
Det er værd at bemærke, at CISA-direktivet formelt kun er bindende for amerikanske føderale myndigheder. Men i praksis følger mange europæiske virksomheder og offentlige institutioner CISAs KEV-katalog som en rettesnor for prioritering af patches — ikke mindst fordi de sårbarheder, der ender i kataloget, per definition allerede er under aktiv udnyttelse.
For danske virksomheder med Check Point Security Gateways gælder det samme argument: en CVE-score på 9,3 kombineret med aktiv ransomware-aktivitet er tilstrækkelig grund til at behandle denne patch som et nødtilfælde snarere end planlagt vedligehold.
CISA-direktivet om tre-dages patch af CVE-2026-50751 er en kraftig advarsel om, at kritisk VPN-infrastruktur fortsat er et primært angrebsmål for ransomwaregrupper. Det faktum, at Qilin udnyttede fejlen som zero-day i over en måned, inden en patch fandtes, understreger, hvor hurtigt avancerede trusselsaktører kan omsætte nye sårbarheder til reelle angreb.
Næste skridt er klart: organisationer med Check Point Security Gateways bør verificere firmware-versionen nu, installere Hotfix SK185033, og overveje om IKEv1 overhovedet er nødvendig i 2026. Den forældte protokol er kilden til problemet — og IKEv2 bør være standarden.
Anthropic lancerer Claude Fable 5 offentligt: en Mythos-klasse AI med built-in sikkerhedsspærrer for cybersikkerhed og biologi til $10 pr. mio. tokens.
9. juni 2026·4 min læsning
Apple kan fjerne apps fra App Store der ikke opdateres eller tiltrækker brugere. Fart-apps, lommelygter og horoskop-apps er i skudlinjen fra WWDC 2026.
9. juni 2026·4 min læsning
Google lancerer Gemini 3.5 Live Translate: realtidsoversættelse af tale på over 70 sprog i Google Meet — bevarer intonation, tempo og ejerens stemmeleje.
9. juni 2026·4 min læsning