Check Point conecta ataques zero-day em VPN ao grupo de ransomware Qilin

A Check Point confirmou a exploração ativa do CVE-2026-50751, vulnerabilidade crítica (CVSS 9.3) em seus produtos Mobile Access/SSL VPN, Remote Access VPN e firewalls Spark, que permite bypass completo de autenticação via IKEv1 — protocolo legado ainda habilitado em ambientes com clientes antigos. A falha é um defeito lógico na validação de certificados, explorada desde 7 de maio de 2026, com pico de atividade em início de junho de 2026. A CISA incluiu o CVE-2026-50751 no catálogo KEV em 10 de junho de 2026, exigindo correção imediata por agências federais dos EUA. Paralelamente, foi identificado o CVE-2026-50752 (CVSS 7.4), que possibilita ataques man-in-the-middle em conexões site-to-site IKEv1, embora sem evidências de exploração real até o momento.

A investigação forense vinculou diretamente os ataques ao grupo de ransomware Qilin (também conhecido como Agenda), operação RaaS ativa desde 2022. Em pelo menos um caso confirmado, a infraestrutura pós-exploração foi associada a um afiliado do Qilin. O grupo, que reivindicou 97 ataques em maio de 2026 e atacou a SatCom CX em 8 de junho de 2026, tem perfil financeiramente motivado e prioriza dupla extorsão em setores críticos como saúde, educação e manufatura. A Check Point avalia com confiança média que o ator por trás dessa campanha está integrado ao ecossistema Qilin e também explora vulnerabilidades similares em soluções de Palo Alto, Fortinet e F5.

Essa descoberta é crítica porque o CVE-2026-50751 oferece acesso não autorizado direto à rede interna sem credenciais válidas — uma porta de entrada ideal para ransomware como o Qilin. Diferentemente de explorações teóricas, há evidência concreta de uso em campo desde maio de 2026, com impacto real em dezenas de organizações globalmente. A inclusão no catálogo KEV da CISA reforça o risco elevado: falhas nessa lista exigem correção prioritária por entidades governamentais e são frequentemente replicadas por ameaças criminosas em larga escala. Além disso, a dependência do protocolo obsoleto IKEv1 revela uma lacuna comum em ambientes corporativos que mantêm compatibilidade com sistemas legados — exatamente onde o Qilin concentra seus esforços de exploração.

Para equipes de segurança e desenvolvedores de infraestrutura, o CVE-2026-50751 exige ação imediata: aplicação dos hotfixes oficiais da Check Point, desativação imediata do IKEv1 em gateways expostos e revisão rigorosa de políticas de autenticação em VPNs. A existência do CVE-2026-50752 reforça a necessidade de auditoria profunda em implementações de troca de chaves e validação de certificados — especialmente em ambientes que ainda suportam protocolos herdados. Desenvolvedores de aplicações que integram ou dependem de serviços de VPN devem validar se suas arquiteturas estão expostas indiretamente via APIs ou conectividade com gateways vulneráveis. A análise de IoCs divulgados pela Check Point deve ser incorporada em pipelines de detecção SIEM/SOAR para identificar tentativas de exploração prévia à infecção por Qilin.