Como funciona o ataque
Um afiliado do ransomware Qilin está explorando CVE-2026-50751, uma vulnerabilidade de bypass de autenticação no VPN Remote Access e Mobile Access da Check Point que usa o protocolo IKEv1 descontinuado. A falha, com CVSS 9.3, permite conexões VPN sem senha. A exploração foi detectada em dezenas de organizações desde maio de 2026.
A vulnerabilidade reside em uma falha lógica na validação de certificados do protocolo IKEv1 (Internet Key Exchange versão 1), considerado obsoleto pela própria Check Point. Um atacante remoto e não autenticado consegue estabelecer uma sessão VPN sem possuir uma senha válida, bastando explorar o fluxo incorreto de verificação de certificados. Após a conexão, o atacante precisa de atividade pós-autenticação para acessar recursos internos ou escalar privilégios.
A Check Point identificou também uma segunda vulnerabilidade, CVE-2026-50752 (CVSS 7.4), que afeta a validação de certificados no IKEv1 e pode permitir ataques man-in-the-middle em conexões VPN site-to-site — vetor semelhante aos ataques MITM de interceptação de tráfego. Esta segunda falha não possui evidências de exploração ativa, mas foi corrigida no mesmo lote de atualizações.
Perfil do grupo Qilin
A Check Point assessa com confiança média que o ator por trás da exploração é financeiramente motivado e opera como afiliado do ransomware Qilin, um programa RaaS (Ransomware-as-a-Service) ativo desde 2022. O grupo utiliza o protocolo Tox para comunicação e o software open-source Rclone para exfiltração de dados. A infraestrutura de ataque emprega VPS dedicados hospedados em provedores como Kaupo Cloud HK, Shock Hosting e Vultr Holdings.
Segundo a Check Point, há indicações de que a mesma infraestrutura está explorando outras vulnerabilidades VPN de vendors como Palo Alto Networks, Fortinet e F5 Networks — padrão semelhante ao zero-day ativo no Cisco SD-WAN explorado sem patch disponível. Isso sugere um modelo operacional de acesso inicial amplo, onde o grupo tenta múltiplas portas de entrada em vez de depender de um único vetor.
Cronologia dos ataques
| Data | Evento |
|---|---|
| 7 de maio de 2026 | Primeira exploração conhecida de CVE-2026-50751 detectada |
| Início de junho de 2026 | Pico de tentativas de exploração observado pela Check Point |
| 4 de junho de 2026 | Check Point detecta atividade suspeita e inicia investigação |
| 8 de junho de 2026 | Advisory de segurança publicado com patches e IoCs |
Como se proteger agora
A Check Point recomenda ações imediatas para administradores de redes que utilizam seus gateways:
- Aplicar os hotfixes de segurança disponibilizados no sk185033 imediatamente
- Desativar o protocolo IKEv1 em todas as interfaces VPN, migrando para IKEv2
- Remover suporte a conexões do cliente Remote Access legado
- Exigir certificado de máquina para estabelecer conexões VPN
- Auditar logs forenses a partir de 7 de maio de 2026 buscando os IoCs publicados
- Verificar configurações de Security Gateways e Spark Firewalls nas versões afetadas (R80.20.X até R82.10)