Afiliado do Qilin explora zero-day em VPN Check Point (CVE-2026-50751) e dispara onda de ataques em junho
Check Point confirma exploracao ativa da CVE-2026-50751, bypass de autenticacao no Remote Access VPN e Mobile Access que so afeta configuracoes com IKEv1 — protocolo deprecado. Atacante associado ao Qilin ransomware usou VPS dedicada, protocolo Tox e Rclone para exfiltrar dados desde 7 de maio. Patche e desabilite IKEv1 ja.
A Check Point divulgou nesta segunda-feira que um afiliado do ransomware Qilin esta explorando a CVE-2026-50751, uma falha critica de bypass de autenticacao no Remote Access VPN e no Mobile Access da empresa, alem de afetar firewalls Spark com IA voltados a pequenas e medias empresas. A vulnerabilidade so se manifesta em configuracoes que ainda usam o protocolo deprecado IKEv1 e permite que atacantes remotos nao autenticados estabelecam uma sessao VPN sem senha valida. Os primeiros ataques conhecidos ocorreram em 7 de maio de 2026, com aumento expressivo em junho.
O que aconteceu
O Check Point Remote Access VPN conecta de forma segura redes corporativas a dispositivos remotos e moveis; o Mobile Access oferece acesso a email, calendario, contatos e aplicativos corporativos para usuarios em transito. Ambos os produtos sao alvo da CVE-2026-50751, descrita pela empresa como uma falha de fluxo logico que permite ao atacante remoto e nao autenticado burlar o controle de autenticacao e estabelecer uma sessao VPN de acesso remoto valida sem credenciais legitimas.
Segundo a empresa, atividade suspeita foi observada pela primeira vez em 4 de junho de 2026, mas a investigacao retrocedente identificou o primeiro ataque em 7 de maio. Ate o momento, a exploracao se manteve “limitada a algumas dezenas de organizacoes alvo globalmente”, incluindo um caso confirmado de atividade pos-comprometimento associada a um afiliado do ransomware Qilin.
Detalhes da vulnerabilidade
O bug afeta apenas instalacoes que ainda usam IKEv1 — protocolo de troca de chaves IPsec considerado obsoleto desde 2017 (RFC 8247) e oficialmente substituido pelo IKEv2. Embora deprecado, IKEv1 segue ativo em muitas implantacoes legadas por compatibilidade com hardware antigo, perfis de cliente VPN tradicionais ou simples inercia operacional. A falha esta na logica de validacao de credenciais durante o handshake: um adversario pode forjar a sessao e iniciar tunnel sem fornecer senha.
Os firewalls Spark, linha de IA destinada a SMBs e MSPs, tambem sao vulneraveis pelo mesmo motivo. A combinacao “appliance de SMB + protocolo deprecado + bypass de autenticacao” produz um vetor de altissimo retorno para grupos de ransomware, ja que essas organizacoes raramente tem capacidade de telemetria EDR ou caça de ameaças.
“Equipes de resposta a incidentes devem priorizar auditorias forenses de log e revisoes de configuracao a partir da data de exploracao observada mais antiga: 7 de maio de 2026. Com base em nossas observacoes, as tentativas de exploracao da CVE-2026-50751 aumentaram em inicio de junho.” — Check Point Research
Como o ataque do Qilin funciona
No caso confirmado de extorsao financeira documentado pela Check Point, o ator do Qilin combinou o bypass de autenticacao com infraestrutura de VPS dedicada — hosts em Kaupo Cloud HK, Shock Hosting e Vultr — para conduzir o ataque. A geolocalizacao do VPS frequentemente combinava com a geografia da vitima, tatica usada para evitar deteccao baseada em risco geografico. Comunicacao via protocolo Tox e exfiltracao via Rclone (open-source, abusado para copia de dados para nuvens publicas) completam a cadeia de TTPs.
A Check Point afirma acreditar que a mesma infraestrutura tambem esta explorando outras vulnerabilidades de VPN ja divulgadas por Palo Alto, Fortinet e F5 — sinal claro de que esse grupo nao esta vinculado a um unico fornecedor, mas sim a um padrao de comprometimento de gateways de borda.
Quem esta em risco
- Organizacoes que rodam Check Point Remote Access VPN ou Mobile Access em qualquer versao com IKEv1 habilitado
- Firewalls Check Point Spark (linha SMB/MSP) com IKEv1 ativo
- Empresas que adotaram VPNs corporativas ha mais de 5 anos e nunca migraram cliente VPN ou perfis para IKEv2
- Provedores de servicos gerenciados que mantem multiplos tenants em appliances compartilhados — risco de comprometimento em cadeia
- Setores ja conhecidos como alvos preferenciais do Qilin: saude, manufatura, servicos profissionais e governo subnacional
Analise
A CVE-2026-50751 segue um padrao recorrente de 2024 e 2025: bugs em gateways VPN corporativos servindo como porta de entrada principal para operacoes de ransomware. Casos anteriores ilustram bem o ciclo — Fortinet (CVE-2024-21762 e CVE-2024-47575), Palo Alto (CVE-2024-3400), Ivanti (CVE-2025-22457) e agora Check Point. O denominador comum nao e apenas a popularidade dos appliances, mas o fato de que eles concentram autenticacao para toda a rede e raramente sao tratados como ativos criticos no mesmo nivel dos endpoints. Quando o atacante captura o gateway, ele entra como usuario legitimo — exatamente o cenario que o Qilin aproveitou aqui.
O Qilin em si merece atencao redobrada. O grupo emergiu como sucessor de operacao das gangues russas que se reorganizaram apos a queda do LockBit, e em 2026 tornou-se o RaaS mais ativo em termos de volume de vitimas publicadas — superando RansomHub e Akira. A escolha de explorar uma vulnerabilidade que so afeta configuracoes com IKEv1 demonstra reconhecimento ofensivo cirurgico: o atacante mapeou previamente alvos que mantem o protocolo legado, provavelmente via Shodan, Censys ou scanning proprio, antes de acionar a exploracao.
No Brasil, a Check Point tem presenca relevante em bancos medios, varejistas e administracao publica estadual. A combinacao “IKEv1 ainda habilitado + Qilin + infraestrutura de VPS regional” desenha um cenario verossimil para vitimizacao local nas proximas semanas, sobretudo entre organizacoes que adiaram refresh de hardware ou perfil de cliente VPN.
Recomendacoes praticas
- Auditar imediatamente todas as instalacoes Check Point Remote Access VPN, Mobile Access e Spark; identificar quais ainda usam IKEv1 e desabilitar o protocolo onde nao for estritamente necessario
- Aplicar os patches publicados pela Check Point para a CVE-2026-50751 assim que disponiveis na sua versao; caso o ambiente nao possa receber patch imediatamente, desativar IKEv1 e exigir IKEv2 — mitigacao oficial da fornecedora
- Executar caca a ameaças retroativa a partir de 7 de maio de 2026 nos logs do gateway: sessoes VPN sem evento correspondente de autenticacao bem-sucedida, IPs de origem em provedores Kaupo Cloud HK, Shock Hosting e Vultr, e padroes de exfiltracao via Rclone
- Confrontar a lista de IOCs publicada pela Check Point com SIEM, NDR e EDR; bloquear os IPs e dominios conhecidos em firewall de perimetro
- Reforcar MFA forte (preferencialmente FIDO2 ou push numerico) no Remote Access VPN — embora a falha permita bypass do password, MFA bem configurada quebra a sessao no segundo fator
- Reduzir o blast radius do gateway: VPNs devem terminar em segmento isolado com firewall interno aplicando microsegmentacao por usuario/grupo, nao tratar todo trafego pos-VPN como confiavel
- Para SMBs com Spark sem equipe de seguranca dedicada, contratar revisao emergencial com integrador local ou ativar EDR gerenciado em todos os endpoints atingiveis pela VPN
Fonte: Help Net Security
