Zero-Day do VPN Check Point explorado por ransomware Qilin — CISA ordena patch federal até 11 de junho

A Check Point Research confirmou em 8 de junho que uma vulnerabilidade zero-day em seus produtos Remote Access VPN — rastreada como CVE-2026-50751 — está sob exploração ativa, com pelo menos um caso confirmado ligado a um afiliado do ransomware Qilin. A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou a falha ao seu catálogo de vulnerabilidades exploradas conhecidas (KEV) no mesmo dia e emitiu uma diretriz vinculante exigindo que agências federais dos EUA apliquem o hotfix disponível até 11 de junho — uma janela de 72 horas que reflete a gravidade da ameaça.

A vulnerabilidade é um bypass de autenticação que afeta implementações do Check Point Remote Access VPN, Mobile Access e Spark Firewall configuradas para usar o protocolo de troca de chaves obsoleto IKEv1. Um invasor que explore a falha pode estabelecer uma sessão VPN totalmente autenticada sem possuir uma senha de usuário válida, explorando um erro lógico no processo de validação de certificados. A conexão é bem-sucedida na camada VPN; é necessária exploração adicional pós-conexão para alcançar sistemas internos, mas o bypass inicial remove o que deveria ser o primeiro muro duro contra acesso não autorizado.

Cronograma e Escopo

A Check Point afirma que detectou atividade suspeita pela primeira vez em 4 de junho de 2026, mas evidências forenses sugerem que a exploração inicial começou já em 7 de maio. A exploração ativa se intensificou no início de junho, à medida que os atores de ameaças reconheceram a janela entre a descoberta e a divulgação pública. Até o aviso de 8 de junho, a exploração foi confirmada em algumas dezenas de organizações globalmente. Apenas um incidente foi definitivamente atribuído a atividade pós-compromisso por um afiliado do ransomware Qilin — mas dado o ritmo operacional do Qilin e a baixa barreira para exploração, é provável que esse número aumente.

O Qilin é uma operação de ransomware como serviço (RaaS) ativa desde pelo menos 2022 e que aumentou significativamente sua cadência de ataques em 2025-2026. O grupo é conhecido por dupla extorsão — criptografar arquivos enquanto também exfiltra dados para alavancagem nas negociações de resgate. Seus afiliados atacam regularmente a infraestrutura de VPN e acesso remoto como vetor de acesso inicial, tornando o CVE-2026-50751 um encaixe natural para seu manual de operações.

Uma Segunda Vulnerabilidade Encontrada no Mesmo Caminho de Código

Durante sua investigação do CVE-2026-50751, a equipe de pesquisa da Check Point usou sua plataforma de segurança de código agentic BLAST para realizar uma auditoria estendida dos componentes de VPN afetados. Essa revisão revelou uma segunda vulnerabilidade: CVE-2026-50752, classificada como CVSS 7,4. Essa falha também reside no caminho de código de validação de certificados IKEv1 obsoleto e poderia permitir que um invasor do tipo Man-in-the-Middle interfira nas comunicações VPN site a site sob configurações específicas. A Check Point não observou exploração ativa do CVE-2026-50752, mas o corrigiu proativamente no mesmo pacote de hotfix.

O protocolo IKEv1 foi descontinuado pela IETF em favor do IKEv2 há anos, e sua presença como causa raiz de ambas as vulnerabilidades destaca um padrão recorrente na segurança empresarial: o suporte a protocolos obsoletos mantido para compatibilidade retroativa se torna uma superfície de ataque duradoura. Organizações que desabilitaram o IKEv1 em seus ambientes Check Point não são afetadas por nenhum dos CVEs.

Produtos Afetados e Hotfixes

A vulnerabilidade afeta produtos Check Point configurados com Remote Access VPN ou Mobile Access que aceitam conexões IKEv1 ou aceitam clientes de acesso remoto legados sem exigir um certificado de máquina. A Check Point lançou hotfixes para todas as linhas de produtos suportadas. BleepingComputer e SecurityWeek reportam que a empresa também forneceu mitigações para organizações incapazes de aplicar o patch imediatamente — principalmente desabilitar a aceitação de clientes legados e IKEv1 na configuração do gateway VPN.

Os administradores devem tratar isso como um patch de emergência, não como uma manutenção programada. A disponibilidade pública de uma entrada KEV da CISA e a conexão confirmada com ransomware significam que o código de exploração provavelmente será compartilhado mais amplamente nas comunidades de atores de ameaças em questão de dias. Organizações com infraestrutura VPN Check Point exposta à Internet que ainda não aplicaram o hotfix devem fazê-lo antes do fim de semana.