Check Point relaciona ataques zero-day em VPN ao grupo de ransomware Qilin

9 de Junho de 2026 Atualizado em 9 de Junho de 2026

A empresa israelense de cibersegurança Check Point divulgou atualizações de segurança para corrigir uma falha crítica que afeta implantações de Remote Access VPN e Mobile Access, explorada em ataques zero-day por afiliados do ransomware Qilin.

Identificada como CVE-2026-50751 , a vulnerabilidade pode ser explorada por atacantes remotos e não autenticados para burlar a autenticação em alvos com Mobile Access, SSL VPNs, Remote Access VPNs ou firewalls Spark e estabelecer uma conexão de Remote Access VPN.

Segundo a empresa, a falha afeta apenas ambientes configurados para usar o protocolo legado de troca de chaves IKEv1, com gateways de segurança que aceitam clientes antigos de acesso remoto e não exigem certificado da máquina para as conexões.

Os ataques começaram em 7 de maio e se intensificaram no fim de semana, afetando apenas “algumas dezenas” de organizações em todo o mundo, com pelo menos um incidente ligado à operação de ransomware como serviço (RaaS) Qilin.

A CISA determinou que órgãos do governo dos Estados Unidos protejam suas implantações do Check Point Remote Access VPN e do Mobile Access contra a vulnerabilidade, já adicionada ao catálogo Known Exploited Vulnerabilities (KEV), e estabeleceu prazo até 11 de junho para que as agências civis do Poder Executivo Federal (FCEB) apliquem as medidas exigidas pela Binding Operational Directive 22-01.

“A Check Point Research identificou exploração ativa da CVE-2026-50751 , uma vulnerabilidade crítica de bypass de autenticação que afeta implantações de Check Point Remote Access VPN e Mobile Access configuradas para usar o protocolo legado de troca de chaves IKEv1”, alertou a empresa.

“Até o momento, a exploração observada ficou restrita a algumas dezenas de organizações-alvo globalmente.

Um caso envolveu atividade confirmada após o comprometimento associada a um afiliado do ransomware Qilin.

Clientes que usam o protocolo de troca de chaves IKEv1 são fortemente incentivados a aplicar imediatamente as atualizações de segurança disponíveis.”

A Check Point também divulgou medidas de mitigação para clientes que não conseguem corrigir imediatamente os sistemas vulneráveis.

A orientação inclui remover o suporte ao cliente remoto legado, configurar as propriedades globais de autenticação do Remote Access VPN para aceitar apenas IKEv2, definir a autenticação por certificado da máquina como obrigatória e habilitar o IPS e baixar as assinaturas.

Durante a investigação da falha CVE-2026-50751 , a Check Point encontrou uma segunda vulnerabilidade, identificada como CVE-2026-50752 , que afeta a validação de certificados na troca de chaves IKEv1 legada e pode ser explorada em ataques man-in-the-middle contra conexões VPN site-to-site.

Embora a empresa ainda não tenha encontrado evidências de exploração da CVE-2026-50752 em ambiente real, recomendou que os clientes apliquem as atualizações para reduzir a exposição potencial.

O Qilin surgiu em agosto de 2022 como uma operação de Ransomware-as-a-Service (RaaS) sob o nome “Agenda” e, desde então, reivindicou mais de 400 vítimas em seu site de vazamentos na dark web.

A lista de vítimas do grupo também inclui organizações de grande porte, como a montadora Yangfeng, a Nissan, a cervejaria japonesa Asahi, a editora Lee Enterprises, a prestadora de serviços de patologia Synnovis e a Court Services Victoria, da Austrália.

A CISA observou que esse tipo de vulnerabilidade é um vetor de ataque frequente para agentes cibernéticos maliciosos e representa riscos significativos para o ambiente federal.

“Aplique as mitigações de acordo com as instruções do fornecedor, siga as orientações aplicáveis da BOD 22-01 para serviços de cloud ou interrompa o uso do produto se não houver mitigações disponíveis”, afirmou a agência.

Embora a diretiva operacional vinculante se aplique apenas a órgãos federais dos Estados Unidos, a CISA pediu que todas as equipes de segurança, inclusive as do setor privado, implantem os patches da CVE-2026-50751 e protejam suas redes o quanto antes.

Há dois anos, a CISA classificou outra vulnerabilidade, a CVE-2024-24919 , nos Quantum Security Gateways da Check Point, como ativamente explorada por grupos de ransomware, confirmando um relatório do CERT da Orange Cyberdefense que a associava a ataques com o ransomware NailaoLocker.

Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...