VPN Check Point sofre zero-day ativo
Uma falha zero-day na VPN da Check Point está sendo ativamente explorada pelo grupo ransomware Qilin desde pelo menos 7 de maio de 2026. A vulnerabilidade, registrada como CVE-2026-50751 com pontuação CVSS de 9,3, permite que atacantes remotos e não autenticados bypassiem completamente a autenticação e estabeleçam uma conexão VPN válida — sem precisar de nenhuma credencial. Em pelo menos um caso confirmado, o acesso abriu caminho para a implantação do ransomware Qilin.
A Check Point identificou a atividade suspeita em 4 de junho, mas os primeiros registros de exploração remontam a mais de um mês antes. A CISA adicionou a vulnerabilidade ao seu catálogo de vulnerabilidades conhecidas e exploradas (KEV) em 9 de junho, estabelecendo prazo de correção até 11 de junho para agências federais americanas. Qualquer empresa brasileira usando Check Point VPN com IKEv1 está no radar.
Como a CVE-2026-50751 funciona
A vulnerabilidade afeta os produtos Remote Access VPN, Mobile Access / SSL VPN e Spark Firewall da Check Point. A raiz do problema está em uma falha de lógica na validação de certificados durante o processo de troca de chaves IKEv1 — um protocolo de criptografia que já foi depreciado pela própria fabricante.
Na prática, o atacante envia uma solicitação de conexão VPN manipulada que passa pelo processo de autenticação sem que um certificado ou senha válida seja verificada. O resultado é uma sessão VPN ativa e funcional, dando ao invasor acesso à rede interna da organização. Trata-se de uma falha de autenticação imprópria, classificada como CWE-287.
Segundo a Rapid7, a vulnerabilidade exige que o gateway aceite clientes legados de acesso remoto e não exija certificado de máquina para conexões. São exatamente as configurações mais comuns em ambientes corporativos que ainda não migraram para IKEv2.
O modus operandi do grupo Qilin
O grupo por trás dos ataques utiliza infraestrutura de VPS (servidores privados virtuais) hospedada em provedores como Kaupo Cloud HK, Shock Hosting e Vultr Holdings. Um detalhe relevante: em vários casos, a região geográfica do VPS correspondia à localização da organização visada, o que sugere um nível de planejamento e seleção de alvos.
Após estabelecer a conexão VPN fraudulenta, o atacante executa cargas maliciosas no formato ELF (executáveis Linux) obtidas de servidores controlados pelo grupo. A ferramenta Rclone, de código aberto, é usada para exfiltrar dados da rede antes do deploy do ransomware. O grupo também utiliza possivelmente o protocolo Tox para comunicação interna.
De acordo com a SecurityWeek, a Check Point avalia com confiança média que o ator por trás da exploração é financeiramente motivado e opera como afiliado do Qilin. A própria Check Point alertou que a mesma infraestrutura pode estar explorando vulnerabilidades VPN de outras fabricantes, incluindo Palo Alto, Fortinet e F5.
Versões afetadas e status de suporte
A vulnerabilidade afeta nove branches de versão dos gateways Check Point. Das nove, quatro já chegaram ao fim do suporte (End of Support), o que significa que não recebem correções de segurança de rotina:
| Versão | Status |
|---|---|
| R80.20.X | Fim do suporte |
| R80.40 | Fim do suporte |
| R81 | Fim do suporte |
| R81.10 | Fim do suporte |
| R81.10.X | Suportado |
| R81.20 | Suportado |
| R82 | Suportado |
| R82.00.X | Suportado |
| R82.10 | Suportado |
Organizações que ainda operam as versões sem suporte precisam priorizar a migração para uma versão suportada. Hotfixes estão disponíveis para todas as branches afetadas, conforme o advisory da Help Net Security.
A Check Point identificou também uma segunda vulnerabilidade relacionada, a CVE-2026-50752 (CVSS 7,4), que permite ataques man-in-the-middle em túneis VPN site-to-site sob certas configurações. Esta segunda falha não tem exploração registrada, mas recebeu hotfix simultâneo.
Mitigação imediata e indicadores
Se a sua organização usa Check Point VPN, a prioridade é aplicar o hotfix imediatamente. Não espere o ciclo regular de patches. A BleepingComputer reporta que a Check Point publicou indicadores de comprometimento (IoCs) que equipes de resposta a incidentes devem buscar nos logs a partir de 7 de maio de 2026.
Para quem não consegue aplicar o hotfix de imediato, existem mitigações alternativas:
- Remover suporte ao cliente legado de acesso remoto
- Configurar as propriedades globais de autenticação VPN para IKEv2 exclusivamente
- Tornar obrigatório o uso de certificado de máquina para conexões
- Habilitar IPS e baixar as assinaturas mais recentes
O ponto crucial é IKEv1. Se o seu gateway não usa IKEv1, você não está vulnerável a esta falha específica. Mas convém verificar — muitos ambientes mantêm compatibilidade com IKEv1 por legacy sem sequer saber.
Além de corrigir, faça uma revisão forense dos logs de VPN desde 7 de maio. Procure conexões originadas dos IPs indicados como maliciosos: 45.77.149[.]152, 209.182.225[.]136, 38.60.157[.]139, 162.33.177[.]101, 45.76.26[.]42, 144.208.127[.]155, 38.54.88[.]201, 38.54.107[.]167 e 66.42.99[.]200.
VPNs corporativas sob ataque em 2026
A CVE-2026-50751 não é um caso isolado. É parte de um padrão claro de 2026: atacantes de ransomware estão concentrando esforços em vulnerabilidades de VPNs corporativas como vetor de entrada principal. Palo Alto, Fortinet, F5 e agora Check Point — todas as grandes fabricantes foram atingidas.
A própria Check Point observa que a infraestrutura do atacante identificada nesta campanha provavelmente explora vulnerabilidades de múltiplas fabricantes simultaneamente. Isso sugere um modelo operacional em que o grupo mapeia organizações pelo tipo de VPN que usam e aplica o exploit correspondente.
Para o mercado brasileiro, onde Check Point tem presença significativa em empresas de médio e grande porte, o risco é concreto. A combinação de configurações legadas (IKEv1 ainda ativo), versões sem suporte e atraso na aplicação de patches cria uma superfície de ataque atraente para grupos como o Qilin, que opera no modelo ransomware-as-a-service com afiliados globais.
O recado é simples: verifique suas configurações de VPN agora. Se IKEv1 está ativo sem necessidade, desative. Se a versão do gateway está sem suporte, migre. E se você não tem certeza de qual protocolo de troca de chaves a sua VPN usa, essa é a pergunta que precisa fazer ao seu time de infraestrutura ainda hoje.
Referências
- Check Point links VPN zero-day attacks to Qilin ransomware gang — BleepingComputer
- Check Point VPN Zero-Day Exploited in Qilin Ransomware Attacks — SecurityWeek
- Qilin ransomware affiliate exploited Check Point VPN zero-day — Help Net Security
- Critical Check Point VPN Zero-Day Exploited in the Wild — Rapid7
- Check Point Warning: Actively Exploited VPN Zero-Day Linked to Qilin Ransomware — TechRepublic