Vulnerabilidade 0-day do VPN da Check Point é explorada na prática para implantar ransomware

Descoberta uma falha crítica em VPNs da Check Point que permite invasores contornarem autenticação. É urgente aplicar correções e revisar configurações para evitar compromissos de segurança

A Check Point Research descobriu a exploração ativa da vulnerabilidade crítica de bypass de autenticação CVE-2026-50751 (CVSS 9.3) em implementações do Check Point Remote Access VPN e Mobile Access, com atividade pós-comprometimento confirmada e vinculada ao grupo de ransomware Qilin.

A CVE-2026-50751 atinge implementações configuradas para usar o protocolo de troca de chaves IKEv1, já obsoleto. Ao explorar uma falha lógica na validação de certificados, um invasor remoto não autenticado pode estabelecer uma sessão VPN sem uma senha de usuário válida, burlando efetivamente todos os requisitos de autenticação.

A falha afeta os produtos Mobile Access/SSL VPN, Remote Access VPN e Spark Firewall nas versões R80.20.X a R82.10. Embora o acesso inicial seja obtido por meio do bypass, etapas adicionais de pós-autenticação são necessárias para acessar recursos internos ou escalar privilégios.

A falha afeta os produtos Mobile Access/SSL VPN, Remote Access VPN e Spark Firewall nas versões R80.20.X a R82.10. Embora o acesso inicial seja obtido por meio do bypass, etapas adicionais de pós-autenticação são necessárias para acessar recursos internos ou escalar privilégios.

A Check Point Research iniciou sua investigação em 4 de junho de 2026, após indícios de atividade suspeita, rastreando tentativas de exploração até 7 de maio de 2026.

As tentativas de exploração aumentaram drasticamente no início de junho de 2026, visando dezenas de organizações globalmente. As equipes de resposta a incidentes devem priorizar auditorias forenses de logs e revisões de configuração a partir da data da primeira exploração observada.

O agente da ameaça é avaliado com média confiança como sendo motivado por interesses financeiros, utilizando binários do ransomware Qilin Linux e tentando baixar arquivos ELF maliciosos da infraestrutura controlada pelo agente. Perfis do agente da ameaça

O agente provavelmente utiliza o protocolo Tox para comunicação de comando e controle, um padrão comumente associado a operadores de ransomware, e acredita-se que esteja explorando simultaneamente vulnerabilidades de VPN divulgadas pela Palo Alto, Fortinet e F5.

A infraestrutura do atacante estava hospedada na Kaupo Cloud HK, Shock Hosting e Vultr Holdings, com a geolocalização do VPS correlacionada à geografia da vítima em vários casos.

Segunda Vulnerabilidade – CVE-2026-50752

Durante a investigação da CVE-2026-50751, a plataforma de segurança de código com IA da Check Point, BLAST, identificou uma falha relacionada: CVE-2026-50752 (CVSS 7.4).

Essa vulnerabilidade afeta a validação de certificados na troca de chaves IKEv1, já obsoleta, e pode permitir ataques do tipo "homem no meio" (MitM) em comunicações VPN site-to-site sob condições específicas. Embora ainda não tenha sido observada em exploração ativa, os clientes são aconselhados a aplicar as atualizações proativamente.

Indicators of Compromise (IOCs)

 IPs Maliciosos:

• 45.77.149[.]152, 209.182.225[.]136, 38.60.157[.]139, 162.33.177[.]101, 45.76.26[.]42
• 144.208.127[.]155, 38.54.88[.]201, 38.54.107[.]167, 66.42.99[.]200

Hashes dos arquivos (MD5):

• 52fda5c1b9704544f32ee98d9060e689
• 51d39aa39478beeac94f2d12f682ecce

Medidas de mitigação

A Check Point recomenda fortemente que todos os clientes com versões afetadas apliquem imediatamente a correção (hotfix) lançada para seus gateways de segurança. Organizações que não conseguirem aplicar a correção imediatamente devem tomar as seguintes medidas provisórias:

1. Remover o suporte para clientes de acesso remoto legados.
   
   
2. Configurar a autenticação VPN de acesso remoto somente para IKEv2.
   
   
3. Definir a autenticação de certificado de máquina como obrigatória.
   
   
4. Habilitar o IPS e baixar as assinaturas mais recentes.