Afiliado do Qilin explora zero-day em VPN Check Point (CVE-2026-50751) e dispara onda de ataques em junho

A Check Point divulgou nesta segunda-feira que um afiliado do ransomware Qilin esta explorando a CVE-2026-50751, uma falha critica de bypass de autenticacao no Remote Access VPN e no Mobile Access da empresa, alem de afetar firewalls Spark com IA voltados a pequenas e medias empresas. A vulnerabilidade so se manifesta em configuracoes que ainda usam o protocolo deprecado IKEv1 e permite que atacantes remotos nao autenticados estabelecam uma sessao VPN sem senha valida. Os primeiros ataques conhecidos ocorreram em 7 de maio de 2026, com aumento expressivo em junho.

O que aconteceu

O Check Point Remote Access VPN conecta de forma segura redes corporativas a dispositivos remotos e moveis; o Mobile Access oferece acesso a email, calendario, contatos e aplicativos corporativos para usuarios em transito. Ambos os produtos sao alvo da CVE-2026-50751, descrita pela empresa como uma falha de fluxo logico que permite ao atacante remoto e nao autenticado burlar o controle de autenticacao e estabelecer uma sessao VPN de acesso remoto valida sem credenciais legitimas.

Segundo a empresa, atividade suspeita foi observada pela primeira vez em 4 de junho de 2026, mas a investigacao retrocedente identificou o primeiro ataque em 7 de maio. Ate o momento, a exploracao se manteve “limitada a algumas dezenas de organizacoes alvo globalmente”, incluindo um caso confirmado de atividade pos-comprometimento associada a um afiliado do ransomware Qilin.

Detalhes da vulnerabilidade

O bug afeta apenas instalacoes que ainda usam IKEv1 — protocolo de troca de chaves IPsec considerado obsoleto desde 2017 (RFC 8247) e oficialmente substituido pelo IKEv2. Embora deprecado, IKEv1 segue ativo em muitas implantacoes legadas por compatibilidade com hardware antigo, perfis de cliente VPN tradicionais ou simples inercia operacional. A falha esta na logica de validacao de credenciais durante o handshake: um adversario pode forjar a sessao e iniciar tunnel sem fornecer senha.

Os firewalls Spark, linha de IA destinada a SMBs e MSPs, tambem sao vulneraveis pelo mesmo motivo. A combinacao “appliance de SMB + protocolo deprecado + bypass de autenticacao” produz um vetor de altissimo retorno para grupos de ransomware, ja que essas organizacoes raramente tem capacidade de telemetria EDR ou caça de ameaças.

“Equipes de resposta a incidentes devem priorizar auditorias forenses de log e revisoes de configuracao a partir da data de exploracao observada mais antiga: 7 de maio de 2026. Com base em nossas observacoes, as tentativas de exploracao da CVE-2026-50751 aumentaram em inicio de junho.” — Check Point Research

Como o ataque do Qilin funciona

No caso confirmado de extorsao financeira documentado pela Check Point, o ator do Qilin combinou o bypass de autenticacao com infraestrutura de VPS dedicada — hosts em Kaupo Cloud HK, Shock Hosting e Vultr — para conduzir o ataque. A geolocalizacao do VPS frequentemente combinava com a geografia da vitima, tatica usada para evitar deteccao baseada em risco geografico. Comunicacao via protocolo Tox e exfiltracao via Rclone (open-source, abusado para copia de dados para nuvens publicas) completam a cadeia de TTPs.

A Check Point afirma acreditar que a mesma infraestrutura tambem esta explorando outras vulnerabilidades de VPN ja divulgadas por Palo Alto, Fortinet e F5 — sinal claro de que esse grupo nao esta vinculado a um unico fornecedor, mas sim a um padrao de comprometimento de gateways de borda.

Quem esta em risco

• Organizacoes que rodam Check Point Remote Access VPN ou Mobile Access em qualquer versao com IKEv1 habilitado
• Firewalls Check Point Spark (linha SMB/MSP) com IKEv1 ativo
• Empresas que adotaram VPNs corporativas ha mais de 5 anos e nunca migraram cliente VPN ou perfis para IKEv2
• Provedores de servicos gerenciados que mantem multiplos tenants em appliances compartilhados — risco de comprometimento em cadeia
• Setores ja conhecidos como alvos preferenciais do Qilin: saude, manufatura, servicos profissionais e governo subnacional

Analise

A CVE-2026-50751 segue um padrao recorrente de 2024 e 2025: bugs em gateways VPN corporativos servindo como porta de entrada principal para operacoes de ransomware. Casos anteriores ilustram bem o ciclo — Fortinet (CVE-2024-21762 e CVE-2024-47575), Palo Alto (CVE-2024-3400), Ivanti (CVE-2025-22457) e agora Check Point. O denominador comum nao e apenas a popularidade dos appliances, mas o fato de que eles concentram autenticacao para toda a rede e raramente sao tratados como ativos criticos no mesmo nivel dos endpoints. Quando o atacante captura o gateway, ele entra como usuario legitimo — exatamente o cenario que o Qilin aproveitou aqui.

O Qilin em si merece atencao redobrada. O grupo emergiu como sucessor de operacao das gangues russas que se reorganizaram apos a queda do LockBit, e em 2026 tornou-se o RaaS mais ativo em termos de volume de vitimas publicadas — superando RansomHub e Akira. A escolha de explorar uma vulnerabilidade que so afeta configuracoes com IKEv1 demonstra reconhecimento ofensivo cirurgico: o atacante mapeou previamente alvos que mantem o protocolo legado, provavelmente via Shodan, Censys ou scanning proprio, antes de acionar a exploracao.

No Brasil, a Check Point tem presenca relevante em bancos medios, varejistas e administracao publica estadual. A combinacao “IKEv1 ainda habilitado + Qilin + infraestrutura de VPS regional” desenha um cenario verossimil para vitimizacao local nas proximas semanas, sobretudo entre organizacoes que adiaram refresh de hardware ou perfil de cliente VPN.

Recomendacoes praticas

• Auditar imediatamente todas as instalacoes Check Point Remote Access VPN, Mobile Access e Spark; identificar quais ainda usam IKEv1 e desabilitar o protocolo onde nao for estritamente necessario
• Aplicar os patches publicados pela Check Point para a CVE-2026-50751 assim que disponiveis na sua versao; caso o ambiente nao possa receber patch imediatamente, desativar IKEv1 e exigir IKEv2 — mitigacao oficial da fornecedora
• Executar caca a ameaças retroativa a partir de 7 de maio de 2026 nos logs do gateway: sessoes VPN sem evento correspondente de autenticacao bem-sucedida, IPs de origem em provedores Kaupo Cloud HK, Shock Hosting e Vultr, e padroes de exfiltracao via Rclone
• Confrontar a lista de IOCs publicada pela Check Point com SIEM, NDR e EDR; bloquear os IPs e dominios conhecidos em firewall de perimetro
• Reforcar MFA forte (preferencialmente FIDO2 ou push numerico) no Remote Access VPN — embora a falha permita bypass do password, MFA bem configurada quebra a sessao no segundo fator
• Reduzir o blast radius do gateway: VPNs devem terminar em segmento isolado com firewall interno aplicando microsegmentacao por usuario/grupo, nao tratar todo trafego pos-VPN como confiavel
• Para SMBs com Spark sem equipe de seguranca dedicada, contratar revisao emergencial com integrador local ou ativar EDR gerenciado em todos os endpoints atingiveis pela VPN

Fonte: Help Net Security