48 3052-8500

CVE-2026-50751: Vulnerabilidade em VPNs da Check Point permite bypass de autenticação e já é explorada por ransomware - OSTEC | Segurança digital de resultados

CVE 4min de Leitura - 12 de junho de 2026

CVE-2026-50751: Vulnerabilidade em VPNs da Check Point permite bypass de autenticação e já é explorada por ransomware

CVE-2026-50751

This post is also available in: Português

A CVE-2026-50751 é uma vulnerabilidade crítica de bypass de autenticação que afeta soluções de acesso remoto da Check Point e permite que um atacante remoto não autenticado estabeleça uma conexão VPN sem apresentar credenciais válidas. Com pontuação CVSS 9.3, a falha já está sendo explorada ativamente em ataques reais e foi adicionada ao catálogo de Known Exploited Vulnerabilities (KEV) da CISA, reforçando a urgência da correção.

A vulnerabilidade está relacionada a uma fraqueza lógica na validação de certificados durante o processo de troca de chaves do protocolo IKEv1, uma tecnologia considerada obsoleta e ainda utilizada em algumas implementações legadas de VPN. Segundo a Check Point, a exploração da falha já foi associada a campanhas conduzidas por afiliados do ransomware Qilin, que conseguiram obter acesso inicial a ambientes corporativos por meio desse vetor.

O que é a Check Point?

A Check Point Software Technologies é uma das principais empresas globais de segurança cibernética, reconhecida por seu portfólio de soluções voltadas à proteção de redes, ambientes em nuvem, endpoints e acesso remoto.

Seus produtos são amplamente utilizados por organizações de todos os portes para proteger perímetros corporativos e garantir conectividade segura entre usuários remotos e recursos internos. Entre as soluções afetadas pela CVE-2026-50751 estão componentes de acesso remoto presentes em gateways de segurança, firewalls e plataformas VPN da fabricante.

O que é a CVE-2026-50751?

A CVE-2026-50751 é classificada como uma vulnerabilidade de Improper Authentication (CWE-287), categoria que engloba falhas em mecanismos de autenticação que permitem a um usuário ou sistema obter acesso sem validação adequada de identidade.

A vulnerabilidade ocorre devido a uma falha no fluxo lógico de validação de certificados utilizado pelos componentes Remote Access VPN e Mobile Access durante negociações realizadas por meio do protocolo IKEv1.

Em condições específicas, um invasor remoto consegue manipular esse processo para contornar a autenticação de usuários e estabelecer uma sessão VPN válida sem fornecer uma senha legítima. Como resultado, o atacante obtém acesso à rede corporativa através do mesmo canal utilizado por colaboradores autorizados.

O aspecto mais preocupante é que a exploração não exige autenticação prévia nem interação da vítima, características que contribuem diretamente para sua elevada pontuação de severidade.

Entendendo o protocolo IKEv1

O Internet Key Exchange versão 1, conhecido como IKEv1, é um protocolo utilizado para negociar parâmetros de segurança e estabelecer túneis VPN IPsec.

Embora tenha sido amplamente adotado durante muitos anos, o protocolo foi gradualmente substituído pelo IKEv2, que oferece melhorias significativas em segurança, desempenho e resistência a ataques.

A própria Check Point descreve o IKEv1 como uma tecnologia depreciada, recomendando sua substituição por versões mais modernas. A CVE-2026-50751 demonstra os riscos associados à manutenção de protocolos legados em ambientes corporativos, especialmente quando expostos à internet.

Produtos afetados

A vulnerabilidade afeta implantações que utilizam o protocolo IKEv1 em conjunto com os recursos de acesso remoto da Check Point.

Entre os produtos impactados estão:

  • Remote Access VPN
  • Mobile Access
  • Quantum Security Gateway
  • CloudGuard Network
  • Quantum Maestro
  • Quantum Scalable Chassis
  • Quantum Spark Appliances

A exploração é possível quando o ambiente está configurado para aceitar conexões por meio do protocolo IKEv1. Ambientes que utilizam exclusivamente IKEv2 não são afetados por esse vetor específico.

CVSS 9.3: por que a severidade é tão alta?

A CVE-2026-50751 recebeu pontuação 9.3 de 10 na escala CVSS, sendo classificada como crítica. Essa classificação é resultado de diversos fatores que aumentam significativamente o risco de exploração:

  • A vulnerabilidade pode ser explorada remotamente através da internet.
  • Não exige credenciais válidas.
  • Não depende de interação do usuário.
  • Permite acesso inicial a ambientes corporativos protegidos por VPN.
  • Pode servir como ponto de entrada para ataques posteriores, incluindo movimentação lateral, roubo de credenciais e implantação de ransomware.

Na prática, a falha compromete um dos principais controles de segurança de uma organização: a autenticação de usuários remotos.

Exploração ativa e associação com ransomware Qilin

A Check Point confirmou que a vulnerabilidade já vinha sendo explorada desde pelo menos 7 de maio de 2026, semanas antes da divulgação pública do problema. A atividade maliciosa aumentou significativamente no início de junho, levando a empresa a iniciar uma investigação aprofundada.

Segundo informações divulgadas pela fabricante, foram identificadas dezenas de organizações alvo ao redor do mundo. Em pelo menos um dos incidentes investigados, a exploração da vulnerabilidade foi associada a um afiliado do grupo de ransomware Qilin.

O grupo Qilin tornou-se conhecido por ataques de dupla extorsão, combinando criptografia de dados com vazamento de informações roubadas. O uso da CVE-2026-50751 como vetor de acesso inicial evidencia como vulnerabilidades em soluções VPN continuam sendo um dos principais caminhos para comprometimento de ambientes corporativos.

Inclusão no catálogo KEV da CISA

Devido à exploração ativa observada em ambiente real, a Cybersecurity and Infrastructure Security Agency (CISA) adicionou a CVE-2026-50751 ao catálogo de Vulnerabilidades Conhecidas e Exploradas.

O catálogo KEV reúne falhas que apresentam risco comprovado para organizações e que já estão sendo utilizadas por agentes maliciosos. A inclusão de uma vulnerabilidade nessa lista costuma representar um forte indicativo de prioridade para equipes de segurança e gestão de riscos.

A agência determinou inclusive um prazo emergencial para que órgãos federais norte-americanos aplicassem as correções necessárias, demonstrando a gravidade do cenário.

Como mitigar a CVE-2026-50751

A principal recomendação da Check Point é aplicar imediatamente os hotfixes disponibilizados para as versões suportadas dos produtos afetados.

Além da atualização, as organizações devem avaliar a desativação completa do protocolo IKEv1 e migrar suas implementações para IKEv2 sempre que possível. Essa medida reduz significativamente a superfície de ataque e elimina a dependência de um protocolo considerado legado.

Também é recomendável revisar configurações de acesso remoto, validar políticas de autenticação multifator e monitorar logs VPN em busca de conexões suspeitas ou não reconhecidas.

A CVE-2026-50751 reforça os riscos de tecnologias legadas

A descoberta da CVE-2026-50751 evidencia um problema recorrente em ambientes corporativos: a permanência de protocolos e tecnologias antigas em sistemas críticos expostos à internet.

Mesmo organizações com controles de segurança maduros podem se tornar vulneráveis quando componentes legados permanecem ativos por questões de compatibilidade ou operação. Nesse caso, uma falha em um protocolo depreciado foi suficiente para permitir o bypass completo da autenticação VPN e abrir caminho para operações de ransomware.

Diante da exploração ativa, da alta severidade e da inclusão no catálogo KEV da CISA, a correção da CVE-2026-50751 deve ser tratada como prioridade máxima por todas as organizações que utilizam soluções de acesso remoto da Check Point baseadas em IKEv1.

This post is also available in: Português

CVE-2026-44748: Falha na autenticação SAML do SAP NetWeaver permite adulteração de identidades

Postagem anterior