Uma falha crítica de autenticação na VPN de acesso remoto da Check Point, identificada como CVE-2026-50751 e com pontuação CVSS de 9,3, está sendo explorada ativamente por cibercriminosos desde 7 de maio de 2026. Um afiliado do ransomware Qilin já usou a brecha para invadir organizações, e a CISA incluiu a vulnerabilidade em seu catálogo de falhas conhecidas como exploradas em 9 de junho. Empresas brasileiras que mantêm gateways Check Point rodando o protocolo legado IKEv1 estão diretamente expostas.
Pontos-chave
- CVE-2026-50751 (CVSS 9,3): falha de bypass de autenticação em Remote Access VPN, Mobile Access e Spark Firewall da Check Point.
- A brecha afeta apenas instalações configuradas com o protocolo IKEv1 depreciado e sem certificado de máquina obrigatório.
- Exploração confirmada desde 7 de maio de 2026, com aumento no início de junho; pelo menos um caso ligado ao ransomware Qilin.
- A CISA adicionou a falha ao catálogo KEV e exigiu correção de agências federais até 11 de junho.
- A Check Point lançou hotfixes de emergência e uma segunda falha relacionada (CVE-2026-50752) foi corrigida.
Como funciona o bypass de autenticação
A vulnerabilidade reside na lógica de validação de certificados dos componentes Remote Access e Mobile Access durante a troca de chaves IKEv1, classificada como autenticação imprópria (CWE-287). Em termos práticos, o defeito permite que um atacante remoto e sem credenciais estabeleça uma sessão VPN válida — como se fosse um funcionário autorizado — sem fornecer nenhuma senha. A porta da rede corporativa se abre sozinha.
O detalhe técnico decisivo é a dependência do IKEv1, um protocolo de troca de chaves considerado defasado e substituído pelo IKEv2 há anos. A Check Point confirma que apenas gateways que aceitam clientes legados de acesso remoto e não exigem certificado de máquina estão vulneráveis. Ou seja: a falha castiga exatamente as configurações preguiçosas, em que equipes de TI mantêm protocolos antigos por compatibilidade ou conveniência. A Rapid7 classificou a exploração como confirmada com alta confiança em ao menos dois incidentes.
Qilin ransomware entra em ação
O caso mais grave documentado envolve um afiliado do Qilin, grupo de ransomware operando no modelo RaaS (Ransomware-as-a-Service). Segundo a Check Point, que avalia a ligação com confiança média, o atacante usou a VPN invadida como porta de entrada para a rede interna, instalou cargas maliciosas do tipo ELF (binários Linux) e utilizou o software open-source Rclone para exfiltrar dados antes de cifrar os sistemas — o clássico playbook de extorsão dupla.
O ator de ameaças operou a partir de servidores virtuais privados (VPS) contratados em provedores como Kaupo Cloud HK, Shock Hosting e Vultr Holdings. Um padrão revelador: em vários casos, a geografia do VPS coincidia com o país da vítima, técnica usada para dificultar a detecção por sistemas de defesa que sinalizam conexões de IPs estrangeiros. A comunicação ocorria via protocolo Tox, conhecido por dificultar o rastreamento. A Help Net Security destaca que a Check Point acredita que a mesma infraestrutura explora vulnerabilidades similares em VPNs da Palo Alto, Fortinet e F5.
Ataque é limitado, mas letal
A Check Point afirma que a exploração observada até agora se restringiu a “algumas dezenas de organizações” no mundo todo. O número pode parecer pequeno, mas reflete uma escolha deliberada do atacante: mira alvos de alto valor em vez de varreduras massivas. A empresa detectou atividade suspeita em 4 de junho e retrocedeu os primeiros ataques para o início de maio — o que significa que os invasores tiveram quase um mês de janela silenciosa antes da descoberta.
Para o leitor brasileiro, o recado é claro: o Brasil concentra uma base enorme de clientes corporativos Check Point, especialmente em bancos, operadoras de telecom e órgãos públicos. Qualquer gateway ainda rodando versões antigas com IKEv1 é um alvo em potencial. O contexto regional importa porque o atacante adapta a geografia do VPS à da vítima, o que torna firewalls expostos a tráfego doméstico igualmente vulneráveis.
Versões afetadas e suporte encerrado
A falha atinge nove ramos de versão da Check Point. O problema mais incômodo: quatro deles já encerraram o suporte oficial, o que significa que organizações presas a versões antigas estão descobertas mesmo após aplicar mitigação.
| Versão afetada | Estado do suporte | Risco residual |
|---|---|---|
| R80.20.X | Fim do suporte | Alto — migrar imediatamente |
| R80.40 | Fim do suporte | Alto — migrar imediatamente |
| R81 | Fim do suporte | Alto — migrar imediatamente |
| R81.10 | Fim do suporte | Alto — migrar imediatamente |
| R81.10.X | Suportado | Aplicar hotfix |
| R81.20 | Suportado | Aplicar hotfix |
| R82 | Suportado | Aplicar hotfix |
| R82.00.X | Suportado | Aplicar hotfix |
| R82.10 | Suportado | Aplicar hotfix |
Quem ainda opera R80 ou R81 com fim do suporte precisa entender que hotfix isolado não resolve tudo: a ausência de patches futuros deixa essas instalações vulneráveis a novas falhas. A migração para R81.20 ou R82 virou prioridade de segurança, não mero projeto de upgrade.
Como se proteger agora
Para organizações que conseguem aplicar o hotfix de imediato, a recomendação é tratá-lo como emergência, sem esperar pelo ciclo regular de patching. Mas quem não puder corrigir agora tem alternativas de mitigação que a própria Check Point detalhou:
- Desativar o IKEv1 e configurar o gateway para aceitar apenas IKEv2, removendo o protocolo vulnerável.
- Eliminar o suporte ao cliente legado de acesso remoto, forçando endpoints modernos.
- Tornar obrigatório o certificado de máquina para qualquer conexão, de modo que a autenticação dependa de um dispositivo confiável.
- Habilitar o IPS e baixar as assinaturas mais recentes, que já detectam tentativas de exploração.
- Auditar logs desde 7 de maio de 2026, data dos primeiros ataques conhecidos — a presença de conexões suspeitas indica invasão em andamento.
Mesmo depois do hotfix, a Check Point recomenda revisão forense completa. A lógica é simples: quem teve a VPN exposta por semanas pode já ter um invasor dentro da rede, esperando o momento certo para disparar o ransomware. Aplicar o patch sem caçar o intruso é fechar a porta com o ladrão na sala.
Check Point repete padrão da indústria
Esta não é a primeira vez que a linha VPN da Check Point vira alvo. Em maio de 2024, a CVE-2024-24919 — uma vulnerabilidade de divulgação de informações nos Quantum Security Gateways — foi explorada ativamente e também entrou no catálogo KEV da CISA. O padrão se repete em toda a indústria: soluções de VPN de borda das grandes fabricantes (Palo Alto, Fortinet, Cisco, Ivanti, F5) acumulam falhas graves de autenticação porque rodam protocolos legados há tempo demais. A SecurityWeek ressalta que o mesmo grupo suspeito de atacar a Check Point também mira essas outras marcas.
Esse histórico reforça uma lição dura para qualquer equipe de segurança brasileira: o perímetro da VPN deixou de ser um ponto tranquilo da infraestrutura. Cada fabricante de VPN empresarial exposta à internet virou, na prática, uma porta giratória para ransomware. A correção pontual da Check Point resolve o problema de hoje, mas não resolve a dependência estrutural de protocolos obsoletos. Quem não fizer a lição de casa — migrar para IKEv2, exigir certificado de máquina, atualizar versões — vai reaprender a mesma lição com a próxima vulnerabilidade. Para um panorama recente de como outra fabricante foi exposta de forma similar, vale conferir como o FortiBleed expôe 73 mil firewalls Fortinet no mundo, e entender os táticas de extorsão dupla usadas pelo INC Ransomware em campanhas parecidas.
Referências
- Rapid7 — Critical Check Point VPN Zero-Day Exploited in the Wild (CVE-2026-50751)
- SecurityWeek — Check Point VPN Zero-Day Exploited in Qilin Ransomware Attacks
- Help Net Security — Qilin ransomware affiliate exploited Check Point VPN zero-day
- CISA — Known Exploited Vulnerabilities Catalog (inclusão de CVE-2026-50751)
- Check Point Blog — Hotfix for vulnerabilities in deprecated IKEv1 VPN configurations