Check Point VPN -tuotteissa aktiivisesti hyväksikäytetty haavoittuvuus

Check Point julkaisi korjauspaketin Remote Access VPN, Mobile Access ja Spark Firewall -tuotteisiin joka korjaa kriittisen tunnistautumisen ohituksen mahdollistavan haavoittuvuuden CVE-2026-50751. Haavoittuvuuden hyväksikäyttöä on jo havaittu, joten haavoittuvuudelle alttiille laitteille tulee korjauksen asentamisen lisäksi myös suorittaa tutkinta mahdollisen tapahtuneen tietomurron varalta.

Haavoittuvuuden yhteenveto

Haavoittuvuus: 16/2026
CVE-tunnisteet: CVE-2026-50751
Vakavuus: 9.3 (CVSS 3.1 kriittinen)
Kohde: Check Point Security Gateway ja Spark Firewall -tuotteet
Vaikutus: Mahdollistaa oikeudettoman VPN-yhteyden muodostamisen kohteeseen
Korjaustoimet: Suorita korjaustoimet valmistajan tiedotteen mukaisesti ja varaudu suorittamaan tietomurtotutkinta

Valmistajan haavatiedote CVE-2026-50751 (Check Point, englanniksi)

Haavoittuvuuden kohde

Check Point Mobile Access / SSL VPN, Remote Access VPN, Spark Firewall

Check Point Security Gateway -versiot:

R82.10 Jumbo Hotfix Take 19 tai aiemmat
R82 Jumbo Hotfix Take 103 tai aiemmat
R81.20 Jumbo Hotfix Take 141 tai aiemmat
R81.10 (EOS)
R81 (EOS)
R80.40 (EOS)

Check Point Spark Firewall -versiot:

R80.20.X (EOS)
R81.10.X
R82.00.X

Mistä on kysymys?

Check Point julkaisi 8.6.2026 tietoturvatiedotteen haavoittuvuuteen CVE-2026-50751 liittyen. Kyseessä on kriittinen tunnistautumisen ohitukseen liittyvä haavoittuvuus (authentication bypass), joka koskee Check Point Remote Access VPN, Mobile Access ja Spark Firewall -tuotteita.

Haavoittuvuuden hyväksikäyttö on mahdollista sellaisissa ympäristöissä, joissa on määritetty mahdolliseksi käyttää vanhentunutta IKEv1-avaintenvaihtoprotokollaa, ja joissa VPN yhdyskäytävät hyväksyvät vanhoja IKEv1 etäkäyttöasiakkaita eivätkä vaadi erillistä laitesertifikaattia yhteyden muodostamiseen.

Haavoittuvuuden onnistunut hyödyntäminen mahdollistaa tunnistautumattomalle hyökkääjälle muodostaa VPN-yhteys ilman voimassa olevia käyttäjätunnuksia tai salasanoja. Valmistajan mukaan hyökkääjä tarvitsee kuitenkin VPN-yhteyden muodostamisen jälkeen lisätoimia päästäkseen käsiksi sisäisiin resursseihin tai korottaakseen oikeuksiaan.

Check Point on ilmoittanut, että haavoittuvuutta hyödynnetään parhaillaan aktiivisesti. Ensimmäiset havainnot hyökkäyksistä sijoittuvat toukokuun 7. päivään 2026, ja hyökkäysyritykset ovat lisääntyneet merkittävästi kesäkuun alussa.

Valmistajan mukaan kampanja on tällä hetkellä laajuudeltaan rajoitettu, ja se kohdistuu muutamiin kymmeniin organisaatioihin maailmanlaajuisesti. Osa havaituista tietomurroista on liitetty kiristyshaittaohjelmahyökkäyksiä tekevään uhkatoimijaan.

Mitä voin tehdä?

Tarkista laitteiden konfiguraatiot sekä lokitiedot mahdollisten murtojälkien varalta toukokuun 2026 alusta lähtien. Ota haavoittuvista ympäristöistä levy- ja muistidumpit talteen mahdollisen myöhemmän tietomurtotutkinnan varalle.

Päivitä välittömästi haavoittuvat Security Gatewayt ja Spark-palomuurit uusimpaan korjattuun versioon asentamalla korjaustiedosto (Hotfix) valmistajan ohjeiden mukaisesti.

Poista vanhentunut IKEv1-protokolla käytöstä ja siirry käyttämään turvallisempaa IKEv2-protokollaa mikäli mahdollista

Mikäli päivitystä ei voida tehdä heti, väliaikaisena hyväksikäytön rajaamiskeinona voidaan määrittää, ettei IKEv1-yhteyksiä sallita tai vaaditaan laitesertifikaattia yhteyden muodostamiseen.

Lisätiedot

Security Advisory – Action Required – Active Exploitation of Check Point VPN Authentication Bypass (CVE-2026-50751) (Check Point englanniksi)CVE-2026-50751 - User Authentication bypass on VPN Remote Access and Mobile Access in deprecated IKEv1 key exchange (Check Point, englanniksi)