Falha na Check Point VPN está sendo explorada em ataques

A falha crítica em VPNs da Check Point, identificada como CVE-2026-50751 (CVSS 9,3), é um bypass de autenticação causado por uma falha lógica na validação de certificados — não por erro de criptografia ou configuração isolada. Ela permite que atacantes remotos, sem credenciais válidas, estabeleçam conexões de Acesso Remoto via VPN em produtos como Check Point Mobile Access, SSL VPN, Remote Access VPN e Spark Firewalls, mas apenas quando configurados com o protocolo IKEv1 obsoleto. A exploração ativa foi confirmada desde 7 de maio de 2026, com pico de atividade no início de junho de 2026, e já foi associada a um afiliado do grupo de ransomware Qilin. Além disso, foi descoberta uma segunda vulnerabilidade, CVE-2026-50752 (CVSS 7,4), que possibilita ataque man-in-the-middle em conexões site-to-site com IKEv1, embora ainda sem relatos de exploração real.

A CISA incluiu a CVE-2026-50751 no Catálogo KEV (Known Exploited Vulnerabilities) e impôs prazo de três dias para correção em agências federais dos EUA. As versões afetadas incluem Security Gateways R82.10 Jumbo Hotfix Take 19 ou inferior, R82 Jumbo Hotfix Take 103 ou inferior, R81.20 Jumbo Hotfix Take 141 ou inferior, além de certas versões de Spark Firewalls — algumas já fora de suporte. A Check Point já disponibilizou hotfixes específicos, e recomendações oficiais incluem desabilitar o IKEv1 imediatamente, remover suporte a clientes legados de Acesso Remoto e exigir certificado de máquina nas conexões.

Essa falha importa porque compromete diretamente a primeira linha de defesa de redes corporativas: o acesso remoto seguro. Ao permitir entrada não autenticada via VPN, ela abre caminho para movimento lateral, exfiltração de dados e implantação de ransomware — cenário já observado com o grupo Qilin. Diferentemente de vulnerabilidades teóricas, esta está sendo explorada ativamente desde maio de 2026, com impacto global em dezenas de organizações, incluindo entidades governamentais. A urgência é acentuada pelo fato de que o IKEv1, embora obsoleto, ainda é mantido por compatibilidade em muitas infraestruturas legadas — tornando a mitigação técnica mais complexa do que simplesmente aplicar um patch. Além disso, a recorrência de ataques contra VPNs da Check Point (como a CVE-2024-24919 em 2024) reforça um padrão de exploração direcionada a esse vetor crítico.

Para equipes de desenvolvimento e operações de segurança (DevSecOps), essa falha exige revisão imediata de todos os ambientes com gateways Check Point em produção, especialmente aqueles com políticas de Acesso Remoto habilitadas. É fundamental verificar a versão exata do software e se hotfixes aplicáveis já foram instalados — não basta estar na versão principal (ex.: R82.10), pois o problema persiste em builds anteriores ao Take 19. Desabilitar o IKEv1 deve ser priorizado mesmo que cause impacto em dispositivos legados, pois a alternativa é expor toda a rede. Equipes devem também auditar logs de VPN a partir de 7 de maio de 2026 em busca de sessões anômalas com certificados inválidos ou ausência de autenticação mútua. Ferramentas de IaC (como Terraform com módulos Check Point) precisam ser atualizadas para forçar configurações seguras por padrão, bloqueando IKEv1 em novos deployments.