Ataques de Ransomware Exploraram Vulnerabilidade Zero-Day em Check Point VPN por Mais de um Mês
Uma falha crítica em um protocolo VPN legado permitiu que atacantes contornassem a autenticação em soluções Check Point. A vulnerabilidade, explorada por mais de um mês antes de ser corrigida, foi utilizada em ataques de ransomware, incluindo o Qilin.
MundiX News·10 de junho de 2026·4 min de leitura·👁 5 views
Uma vulnerabilidade crítica em um protocolo VPN legado, o IKEv1, permitiu que atacantes se conectassem a soluções Check Point VPN sem a necessidade de autenticação. Essa falha, que afeta tanto o Remote Access VPN quanto o Mobile Access, recebeu a designação CVE-2026-50751 e uma pontuação CVSS de 9,3, indicando sua gravidade. A Check Point já lançou um patch de emergência para corrigir o problema. No entanto, a vulnerabilidade zero-day já estava sob exploração ativa há mais de um mês, sendo utilizada por operadores do ransomware Qilin.
A falha reside em um erro lógico no mecanismo de verificação de certificados. Sua exploração permitia que um atacante remoto contornasse a autenticação e estabelecesse uma conexão VPN, mesmo sem possuir as credenciais de acesso. É importante notar que, para obter acesso adicional aos recursos internos ou para escalar privilégios, seriam necessárias ações subsequentes por parte do atacante. A Check Point enfatiza que a vulnerabilidade afeta apenas configurações específicas. Para que a exploração fosse bem-sucedida, a infraestrutura do cliente precisava ter o protocolo IKEv1 habilitado, o gateway deveria manter o suporte para clientes legados e não exigir autenticação obrigatória por certificado de dispositivo.
De acordo com a Check Point, os primeiros ataques explorando a CVE-2026-50751 foram detectados em 7 de maio de 2026, com um aumento significativo na intensidade no início de junho. Embora o número de organizações afetadas seja relativamente baixo, com poucas dezenas em todo o mundo, os pesquisadores identificaram atividade ligada ao ransomware Qilin em pelo menos um caso. Além disso, os especialistas suspeitam que a mesma infraestrutura de ataque possa estar sendo usada para explorar outras vulnerabilidades VPN em produtos da Palo Alto Networks, Fortinet e F5. Sinais de uso do protocolo Tox, frequentemente empregado por operadores de ransomware para comunicação entre seus nós, também foram observados.
Durante a investigação dos ataques e da vulnerabilidade CVE-2026-50751, a Check Point descobriu uma segunda vulnerabilidade, a CVE-2026-50752. Esta recebeu uma pontuação CVSS de 7,4 e também está relacionada ao IKEv1. Essa falha pode ser utilizada em ataques Man-in-the-Middle (MitM) em conexões VPN site-to-site. Embora ainda não haja evidências de exploração ativa desta segunda vulnerabilidade, os usuários são fortemente aconselhados a aplicar as atualizações o mais rápido possível. Para aqueles que não podem implementar os patches imediatamente, a Check Point recomenda desabilitar o suporte a clientes Remote Access antigos, utilizar exclusivamente o IKEv2 para autenticação, tornar a autenticação por certificado de dispositivo obrigatória e ativar o IPS com as assinaturas mais recentes.
Uma vulnerabilidade crítica em um protocolo VPN legado, o IKEv1, permitiu que atacantes se conectassem a soluções Check Point VPN sem a necessidade de autenticação. Essa falha, que afeta tanto o Remote Access VPN quanto o Mobile Access, recebeu a designação CVE-2026-50751 e uma pontuação CVSS de 9,3, indicando sua gravidade. A Check Point já lançou um patch de emergência para corrigir o problema. No entanto, a vulnerabilidade zero-day já estava sob exploração ativa há mais de um mês, sendo utilizada por operadores do ransomware Qilin.
A falha reside em um erro lógico no mecanismo de verificação de certificados. Sua exploração permitia que um atacante remoto contornasse a autenticação e estabelecesse uma conexão VPN, mesmo sem possuir as credenciais de acesso. É importante notar que, para obter acesso adicional aos recursos internos ou para escalar privilégios, seriam necessárias ações subsequentes por parte do atacante. A Check Point enfatiza que a vulnerabilidade afeta apenas configurações específicas. Para que a exploração fosse bem-sucedida, a infraestrutura do cliente precisava ter o protocolo IKEv1 habilitado, o gateway deveria manter o suporte para clientes legados e não exigir autenticação obrigatória por certificado de dispositivo.
De acordo com a Check Point, os primeiros ataques explorando a CVE-2026-50751 foram detectados em 7 de maio de 2026, com um aumento significativo na intensidade no início de junho. Embora o número de organizações afetadas seja relativamente baixo, com poucas dezenas em todo o mundo, os pesquisadores identificaram atividade ligada ao ransomware Qilin em pelo menos um caso. Além disso, os especialistas suspeitam que a mesma infraestrutura de ataque possa estar sendo usada para explorar outras vulnerabilidades VPN em produtos da Palo Alto Networks, Fortinet e F5. Sinais de uso do protocolo Tox, frequentemente empregado por operadores de ransomware para comunicação entre seus nós, também foram observados.
Durante a investigação dos ataques e da vulnerabilidade CVE-2026-50751, a Check Point descobriu uma segunda vulnerabilidade, a CVE-2026-50752. Esta recebeu uma pontuação CVSS de 7,4 e também está relacionada ao IKEv1. Essa falha pode ser utilizada em ataques Man-in-the-Middle (MitM) em conexões VPN site-to-site. Embora ainda não haja evidências de exploração ativa desta segunda vulnerabilidade, os usuários são fortemente aconselhados a aplicar as atualizações o mais rápido possível. Para aqueles que não podem implementar os patches imediatamente, a Check Point recomenda desabilitar o suporte a clientes Remote Access antigos, utilizar exclusivamente o IKEv2 para autenticação, tornar a autenticação por certificado de dispositivo obrigatória e ativar o IPS com as assinaturas mais recentes.
