Escolha uma Página

O que aconteceu

A Check Point Research confirmou a exploracao ativa da CVE-2026-50751, uma vulnerabilidade critica de bypass de autenticacao com pontuacao CVSS 9.3. A falha afeta ambientes de Remote Access VPN e Mobile Access configurados com o protocolo IKEv1, que ja foi oficialmente descontinuado pelo IETF.

O problema reside em uma falha logica na validacao de certificados. Na pratica, um atacante consegue estabelecer uma sessao VPN sem possuir senha valida, contornando completamente os requisitos de autenticacao. Apos a conexao inicial, atividades adicionais de pos-autenticacao sao necessarias para acessar recursos internos ou escalar privilegios, mas a porta de entrada ja esta aberta.

A investigacao foi iniciada em 4 de junho de 2026, apos indicios de atividade suspeita. A analise revelou que as primeiras tentativas de exploracao ocorreram em 7 de maio, com aumento significativo no inicio de junho. Ate o momento, a exploracao foi confirmada em “algumas dezenas de organizacoes globalmente”, segundo a propria Check Point.

Quem esta por tras

A Check Point avalia com confianca media que o ator por tras da exploracao possui motivacao financeira e esta vinculado ao ransomware Qilin. Em pelo menos um caso, houve atividade pos-comprometimento confirmada associada a esse grupo. Indicadores sugerem que o ator utiliza o protocolo Tox para comunicacao, padrao comum entre operadores de ransomware.

O Qilin (tambem conhecido como Agenda) e um grupo de ransomware-as-a-service que ganhou notoriedade em 2024 e 2025 por ataques a hospitais e infraestrutura critica. Sua presenca nesta campanha eleva o risco: a combinacao de acesso VPN nao autenticado com ransomware pode resultar em comprometimento total do ambiente corporativo em questao de horas.

Outro ponto preocupante: a infraestrutura do atacante aparenta explorar vulnerabilidades semelhantes em outros fabricantes de VPN, incluindo Palo Alto, Fortinet e F5. Isso indica uma campanha coordenada contra gateways VPN corporativos de multiplos fornecedores.

Produtos e versoes afetados

A vulnerabilidade atinge tres linhas de produtos:

  • Mobile Access / SSL VPN
  • Remote Access VPN
  • Spark Firewall

As versoes afetadas incluem desde R80.20.X (ja em fim de suporte) ate R82.10, passando por R81, R81.10, R81.20 e R82. Na pratica, toda a base instalada de gateways Check Point com VPN habilitada esta no escopo.

Durante a investigacao, a plataforma BLAST da Check Point (ferramenta de seguranca de codigo baseada em IA) identificou uma segunda vulnerabilidade, CVE-2026-50752 (CVSS 7.4), que pode permitir ataques man-in-the-middle em conexoes VPN site-to-site sob condicoes especificas. Esta segunda falha ainda nao possui exploracao confirmada, mas o hotfix ja esta disponivel.

O que fazer agora

A Check Point publicou hotfixes para ambas as CVEs. A recomendacao e direta:

  • Aplique o hotfix imediatamente (referencia: sk185033 para CVE-2026-50751 e sk185035 para CVE-2026-50752)
  • Audite logs desde 7 de maio de 2026, data da primeira exploracao observada
  • Migre do IKEv1 para IKEv2. O protocolo IKEv1 foi descontinuado e mante-lo em producao e um risco inaceitavel
  • Revise sessoes VPN ativas em busca de conexoes estabelecidas sem autenticacao adequada

Para ambientes que nao podem migrar imediatamente, desativar o IKEv1 nos gateways afetados elimina o vetor de ataque enquanto o hotfix nao e aplicado.

O que observar daqui

Esta CVE e um lembrete de que protocolos descontinuados nao sao “legado toleravel”. O IKEv1 foi marcado como historico pelo IETF, mas muitas organizacoes ainda o mantem habilitado por compatibilidade com dispositivos antigos ou por inercia operacional. O fato de que o mesmo ator explora falhas semelhantes em Palo Alto, Fortinet e F5 indica que VPN corporativa virou vetor preferencial para operadores de ransomware. Times de infraestrutura que gerenciam gateways Check Point devem tratar esse hotfix como prioridade zero e aproveitar o momento para eliminar IKEv1 de vez do ambiente.

Fontes