O que aconteceu
A Check Point Research confirmou a exploracao ativa da CVE-2026-50751, uma vulnerabilidade critica de bypass de autenticacao com pontuacao CVSS 9.3. A falha afeta ambientes de Remote Access VPN e Mobile Access configurados com o protocolo IKEv1, que ja foi oficialmente descontinuado pelo IETF.
O problema reside em uma falha logica na validacao de certificados. Na pratica, um atacante consegue estabelecer uma sessao VPN sem possuir senha valida, contornando completamente os requisitos de autenticacao. Apos a conexao inicial, atividades adicionais de pos-autenticacao sao necessarias para acessar recursos internos ou escalar privilegios, mas a porta de entrada ja esta aberta.
A investigacao foi iniciada em 4 de junho de 2026, apos indicios de atividade suspeita. A analise revelou que as primeiras tentativas de exploracao ocorreram em 7 de maio, com aumento significativo no inicio de junho. Ate o momento, a exploracao foi confirmada em “algumas dezenas de organizacoes globalmente”, segundo a propria Check Point.
Quem esta por tras
A Check Point avalia com confianca media que o ator por tras da exploracao possui motivacao financeira e esta vinculado ao ransomware Qilin. Em pelo menos um caso, houve atividade pos-comprometimento confirmada associada a esse grupo. Indicadores sugerem que o ator utiliza o protocolo Tox para comunicacao, padrao comum entre operadores de ransomware.
O Qilin (tambem conhecido como Agenda) e um grupo de ransomware-as-a-service que ganhou notoriedade em 2024 e 2025 por ataques a hospitais e infraestrutura critica. Sua presenca nesta campanha eleva o risco: a combinacao de acesso VPN nao autenticado com ransomware pode resultar em comprometimento total do ambiente corporativo em questao de horas.
Outro ponto preocupante: a infraestrutura do atacante aparenta explorar vulnerabilidades semelhantes em outros fabricantes de VPN, incluindo Palo Alto, Fortinet e F5. Isso indica uma campanha coordenada contra gateways VPN corporativos de multiplos fornecedores.
Produtos e versoes afetados
A vulnerabilidade atinge tres linhas de produtos:
- Mobile Access / SSL VPN
- Remote Access VPN
- Spark Firewall
As versoes afetadas incluem desde R80.20.X (ja em fim de suporte) ate R82.10, passando por R81, R81.10, R81.20 e R82. Na pratica, toda a base instalada de gateways Check Point com VPN habilitada esta no escopo.
Durante a investigacao, a plataforma BLAST da Check Point (ferramenta de seguranca de codigo baseada em IA) identificou uma segunda vulnerabilidade, CVE-2026-50752 (CVSS 7.4), que pode permitir ataques man-in-the-middle em conexoes VPN site-to-site sob condicoes especificas. Esta segunda falha ainda nao possui exploracao confirmada, mas o hotfix ja esta disponivel.
O que fazer agora
A Check Point publicou hotfixes para ambas as CVEs. A recomendacao e direta:
- Aplique o hotfix imediatamente (referencia: sk185033 para CVE-2026-50751 e sk185035 para CVE-2026-50752)
- Audite logs desde 7 de maio de 2026, data da primeira exploracao observada
- Migre do IKEv1 para IKEv2. O protocolo IKEv1 foi descontinuado e mante-lo em producao e um risco inaceitavel
- Revise sessoes VPN ativas em busca de conexoes estabelecidas sem autenticacao adequada
Para ambientes que nao podem migrar imediatamente, desativar o IKEv1 nos gateways afetados elimina o vetor de ataque enquanto o hotfix nao e aplicado.
O que observar daqui
Esta CVE e um lembrete de que protocolos descontinuados nao sao “legado toleravel”. O IKEv1 foi marcado como historico pelo IETF, mas muitas organizacoes ainda o mantem habilitado por compatibilidade com dispositivos antigos ou por inercia operacional. O fato de que o mesmo ator explora falhas semelhantes em Palo Alto, Fortinet e F5 indica que VPN corporativa virou vetor preferencial para operadores de ransomware. Times de infraestrutura que gerenciam gateways Check Point devem tratar esse hotfix como prioridade zero e aproveitar o momento para eliminar IKEv1 de vez do ambiente.
