As organizações dependem cada vez mais de VPNs para conectar colaboradores, filiais e ambientes críticos. Por isso, qualquer falha na VPN da Check Point merece atenção imediata, especialmente quando há evidências de exploração ativa por criminosos especializados em ransomware.
A Check Point divulgou correções para duas vulnerabilidades críticas, CVE-2026-50751 e CVE-2026-50752, que afetam implementações VPN configuradas com o protocolo legado IKEv1. Segundo a empresa, uma das falhas já está sendo explorada em ataques reais e foi associada a atividades de afiliados do grupo de ransomware Qilin.
O caso reforça um alerta que há anos é repetido por especialistas em segurança: tecnologias legadas continuam representando uma das principais portas de entrada para invasores. Neste artigo, você entenderá o que aconteceu, quais sistemas estão em risco e quais medidas devem ser adotadas imediatamente para reduzir a superfície de ataque.
Entendendo a falha na VPN da Check Point
A vulnerabilidade mais grave, identificada como CVE-2026-50751, recebeu classificação crítica e afeta ambientes que utilizam o protocolo de troca de chaves IKEv1, considerado obsoleto pela indústria. A falha permite que um invasor remoto contorne mecanismos de autenticação e estabeleça uma conexão VPN sem possuir uma senha válida do usuário.
De acordo com a investigação da própria Check Point, o problema está relacionado a uma fraqueza lógica no processo de validação de certificados utilizado pelo componente de acesso remoto. Embora etapas adicionais sejam necessárias para ampliar privilégios ou acessar recursos internos, o simples fato de obter uma sessão VPN representa um risco extremamente significativo para qualquer organização.
A empresa informou que identificou ataques direcionados contra dezenas de organizações ao redor do mundo, demonstrando que a ameaça não é apenas teórica.
O perigo do protocolo IKEv1 legado
Um dos aspectos mais importantes dessa falha na VPN da Check Point é que ela afeta especificamente implementações que ainda utilizam o antigo IKEv1 (Internet Key Exchange Version 1).
Esse protocolo foi amplamente utilizado por muitos anos para estabelecer túneis VPN seguros. Entretanto, ao longo do tempo surgiram limitações arquiteturais e problemas de segurança que levaram a indústria a adotar o IKEv2, considerado mais robusto, eficiente e seguro.
Segundo a Check Point, a vulnerabilidade explora uma falha no fluxo de validação de certificados presente no IKEv1, permitindo o bypass de autenticação em determinadas configurações. Isso significa que organizações que ainda dependem dessa tecnologia legada estão expostas a riscos significativamente maiores quando comparadas àquelas que já migraram para IKEv2.
O incidente serve como mais um exemplo de como componentes antigos podem permanecer ativos durante anos em ambientes corporativos, criando pontos cegos difíceis de identificar até que uma exploração real seja descoberta.
A descoberta da segunda vulnerabilidade (CVE-2026-50752)
Durante a investigação da primeira falha, pesquisadores da Check Point identificaram um segundo problema de segurança, registrado como CVE-2026-50752.
Essa vulnerabilidade também está relacionada ao processo de validação de certificados do protocolo IKEv1, mas possui um impacto diferente. Em determinadas condições, ela pode permitir ataques do tipo man-in-the-middle (MitM) contra conexões VPN site-to-site.
Nesse cenário, um atacante poderia interferir na comunicação entre dois pontos conectados por VPN, comprometendo a integridade ou a confidencialidade dos dados transmitidos.
Até o momento, a Check Point afirma não ter identificado exploração ativa dessa segunda vulnerabilidade. Ainda assim, a recomendação oficial é aplicar as correções imediatamente para evitar exposição futura.
Quem é a gangue de ransomware Qilin e o impacto dos ataques
A exploração da vulnerabilidade na VPN Check Point chamou ainda mais atenção devido à associação com o grupo Qilin, uma das operações de ransomware mais ativas dos últimos anos.
Conhecido anteriormente como Agenda, o Qilin opera sob o modelo Ransomware-as-a-Service (RaaS), no qual desenvolvedores fornecem a infraestrutura criminosa enquanto afiliados executam os ataques. Esse formato permitiu uma rápida expansão das operações do grupo e aumentou significativamente seu alcance global.
Entre as vítimas atribuídas ao Qilin nos últimos anos estão organizações de grande porte em setores como saúde, manufatura, educação e infraestrutura crítica. Casos amplamente divulgados envolveram empresas como a Nissan e a Synnovis, além de diversos incidentes reportados por pesquisadores de segurança.
Segundo análises de inteligência de ameaças, os indicadores observados durante a investigação apresentaram sobreposição com ferramentas e binários Linux utilizados pelo ecossistema do Qilin, elevando o grau de confiança da atribuição.
A presença de grupos de ransomware explorando vulnerabilidades em dispositivos de borda, como VPNs e firewalls, tornou-se uma tendência crescente. Esses equipamentos frequentemente ficam expostos à internet e oferecem um caminho direto para redes corporativas.
Como proteger sua infraestrutura e mitigar o risco da falha na VPN da Check Point
A Check Point publicou uma série de recomendações para clientes que utilizam os produtos afetados. A principal medida é a aplicação imediata dos hotfixes de segurança disponibilizados pela fabricante.
Além da atualização, a empresa recomenda fortemente a migração para IKEv2, eliminando a dependência do protocolo legado responsável pelas vulnerabilidades.
Entre as ações prioritárias estão:
- Aplicar imediatamente os patches para CVE-2026-50751 e CVE-2026-50752.
- Desativar o uso de IKEv1 sempre que possível.
- Migrar todas as conexões VPN para IKEv2.
- Exigir certificados de máquina para reforçar a autenticação.
- Habilitar e atualizar assinaturas de IPS (Intrusion Prevention System).
- Realizar auditorias de logs para identificar possíveis acessos suspeitos.
- Revisar configurações de acesso remoto e privilégios de usuários.
Também é recomendável monitorar indicadores de comprometimento e realizar análises forenses caso existam sinais de atividade anormal nos gateways VPN.
Conclusão e os desafios da segurança em redes
A descoberta da falha na VPN da Check Point demonstra mais uma vez que tecnologias legadas continuam representando riscos significativos para organizações de todos os portes.
Embora a exploração observada até o momento pareça direcionada e relativamente limitada, a associação com o ransomware Qilin mostra que criminosos estão constantemente procurando novas formas de comprometer dispositivos expostos à internet.
A lição principal é clara: manter sistemas atualizados não basta. Também é necessário abandonar protocolos obsoletos, revisar arquiteturas antigas e adotar padrões modernos de autenticação e criptografia.
Em um cenário onde ataques contra infraestrutura crítica se tornam cada vez mais sofisticados, investir em atualização tecnológica e monitoramento contínuo deixou de ser apenas uma boa prática para se tornar uma necessidade operacional.
