Pesquisadores publicam PoC
Pesquisadores da WatchTowr Labs divulgaram nesta quinta-feira (12) uma prova de conceito funcional e análise técnica detalhada da CVE-2026-50751, vulnerabilidade crítica de bypass de autenticação na VPN Remote Access e Mobile Access da Check Point. A falha, que já é explorada ativamente por afiliados do ransomware Qilin desde o início de maio, permite que invasores não autenticados estabeleçam conexões VPN sem senha, certificado ou chave privada válida. A Check Point corrigiu a vulnerabilidade em 8 de junho, mas dezenas de organizações foram comprometidas antes da correção, e a publicação do PoC pode desencadear uma nova onda de ataques oportunistas contra gateways ainda não atualizados. A falha também é rastreada como CVE-2026-50751.
Como funciona o ataque
A vulnerabilidade reside no fluxo lógico de autenticação IKEv1 (Internet Key Exchange versão 1), protocolo legado de negociação de túnel VPN. O pesquisador McCaulay Hudson, da WatchTowr, descobriu que o código vulnerável permite que um cliente em conexão manipule flags de autenticação por meio de um payload Vendor ID customizado durante a negociação IKEv1 fase 1.
Com essa manipulação, o atacante completa a negociação fase 1 usando uma assinatura aleatória e consegue se autenticar como um usuário provisionado de Remote Access — sem precisar de credenciais válidas. O bypass funciona contra os métodos Certificate, Certificate with enrollment e Mixed, mas não afeta o método Legacy (usuário/senha). A exploração também funciona sobre TCP 443 caso o acesso UDP esteja bloqueado.
Três pré-requisitos tornam um gateway vulnerável: uso do IKEv1 legado, permissão para conexões de clientes Remote Access antigos e ausência de exigência de certificado de máquina. Este cenário é comum em ambientes corporativos que mantêm compatibilidade com clientes legados.
Cronologia da exploração
| Data | Evento |
|---|---|
| Início de maio de 2026 | Primeiros indícios de exploração em ambiente real; afiliado do ransomware Qilin usa a falha para acesso inicial |
| 8 de junho de 2026 | Check Point publica advisory e hotfix para CVE-2026-50751 e CVE-2026-50752 (falha de validação de certificado) |
| 12 de junho de 2026 | WatchTowr Labs publica análise técnica completa e PoC com “Detection Artefact Generator” |
Medidas imediatas de proteção
A Check Point liberou indicadores de comprometimento (IoCs) relativos aos ataques iniciais para que equipes de segurança verifiquem se seus gateways foram alvo. Organizações que utilizam Security Gateways ou Spark Firewall afetados devem aplicar o hotfix imediatamente.
Quando a correção não for possível — por exemplo, em versões sem suporte —, os administradores devem desabilitar o suporte a IKEv1 e clientes Remote Access legados e impor autenticação obrigatória por certificado de máquina. Monitorar logs do gateway para conexões IKEv1 suspeitas e tráfego anômalo sobre TCP 443 também é essencial nesta fase de pós-divulgação. Conforme detalhado na análise anterior sobre o zero-day da VPN Check Point, a janela entre exploração silenciosa e aplicação de patches é o período mais crítico.