Vulnerabilidade crítica zero-day em VPNs da Check Point é explorada ativamente por afiliados do ransomware Qilin

Uma porta aberta no perímetro corporativo

Uma vulnerabilidade de dia zero com pontuação CVSS 9.3 está sendo explorada ativamente em infraestruturas de VPN da Check Point ao redor do mundo. Identificada como CVE-2026-50751, a falha reside em uma fraqueza no fluxo lógico de validação do protocolo IKEv1 — uma versão legada do Internet Key Exchange que ainda opera em milhares de implantações corporativas. O resultado prático é devastador: um atacante remoto, sem necessidade de credenciais válidas, consegue estabelecer uma sessão VPN completa nos gateways vulneráveis, contornando integralmente os mecanismos de autenticação. A Check Point lançou correções emergenciais e a Agência de Segurança Cibernética dos Estados Unidos (CISA) adicionou a brecha ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), estipulando prazo até 11 de junho de 2026 para que agências federais norte-americanas apliquem os patches.

O grupo Qilin e a cadeia de comprometimento

A exploração ativa da CVE-2026-50751 foi atribuída, com grau médio de confiança pela própria Check Point, a ao menos um afiliado do grupo Qilin — operação de Ransomware como Serviço (RaaS) que já vitimou organizações dos setores de saúde, manufatura, educação e grandes corporações como a Nissan. Os ataques foram registrados pela primeira vez em 7 de maio de 2026 e ganharam intensidade no início de junho, atingindo até o momento algumas dezenas de organizações em escala global. Na fase pós-comprometimento, os invasores utilizaram ferramentas como o Rclone para exfiltração de dados e recorreram a infraestrutura de servidores privados virtuais (VPS) distribuída entre provedores na Ásia e nos Estados Unidos. Pesquisadores também observaram sobreposição de táticas com outros ataques a dispositivos VPN de fabricantes como Palo Alto, Fortinet e F5, sugerindo um modus operandi oportunista voltado a perímetros de acesso remoto.

Escopo técnico e segunda vulnerabilidade

Os produtos afetados incluem o Check Point Remote Access VPN, o Mobile Access, os Security Gateways e os firewalls Spark voltados a pequenas e médias empresas. Implantações que exigem certificado de máquina para autenticação não são vulneráveis ao vetor principal da CVE-2026-50751. Uma segunda vulnerabilidade, a CVE-2026-50752, também foi identificada no mesmo componente IKEv1: ela compromete a validação de certificados em conexões site-to-site, abrindo caminho para ataques de intermediário. Até o momento, a CISA e fontes de inteligência de ameaças não registraram exploração ativa dessa segunda falha, mas a Check Point recomenda correção imediata para ambas.

O peso do protocolo legado

O episódio reacende o debate sobre a permanência de protocolos obsoletos em ambientes de produção. O IKEv1 foi formalmente substituído pelo IKEv2 há mais de uma década, mas a inércia operacional e a compatibilidade retroativa com clientes antigos mantém a versão legada ativa em inúmeras organizações. A própria Check Point orienta que suas implantações VPN operem exclusivamente com IKEv2 e que a autenticação por certificado de máquina seja tornada obrigatória — medidas que, se já adotadas, teriam bloqueado o vetor de ataque observado. A correção emergencial já está disponível para todas as versões suportadas.

O que fazer agora

Administradores de sistemas que operam soluções Check Point devem aplicar os hotfixes divulgados pelo fabricante com prioridade máxima, desabilitar o suporte ao protocolo IKEv1 e migrar configurações para IKEv2. É recomendável também ativar ou atualizar as assinaturas de Prevenção de Intrusões (IPS), auditar logs dos gateways em busca de sessões suspeitas estabelecidas desde o início de maio e revisar os privilégios de acesso remoto concedidos a usuários e dispositivos. Organizações que já sofreram comprometimento devem presumir que dados sensíveis podem ter sido exfiltrados e acionar seus planos de resposta a incidentes.

Fonte original: SempreUpdate — Falha na VPN da Check Point é explorada por ransomware Qilin, publicado em 8 de junho de 2026. Corroborado por BleepingComputer, SecurityWeek, Help Net Security e CISA KEV.