Bypass de Autenticação no Check Point Remote Access VPN

CVE-2026-50751Severidade: CRÍTICA. Exploração ativa confirmada. Atualização imediata necessária.

Publicado em 09/06/2026 12:04
Compartilhe:

O componente Remote Access VPN / Mobile Access do Check Point Security Gateway, amplamente utilizado por órgãos do SISP para acesso remoto seguro, possui uma vulnerabilidade crítica que permite a atacantes remotos não autenticados estabelecerem sessões VPN sem apresentar credenciais válidas. A falha explora uma inconsistência lógica na validação de certificados durante o handshake do protocolo IKEv1 legado. A exploração ativa está documentada desde maio de 2026 e um incidente com atividade pós-comprometimento associada ao grupo de ransomware Qilin foi confirmado. A CISA incluiu a CVE-2026-50751 no catálogo KEV em 08/06/2026.

DESTINATÁRIOS

Órgãos e entidades do SISP que operam Check Point Security Gateways (físicos ou virtuais) ou Spark Firewalls com o blade Remote Access VPN ou Mobile Access habilitado e suporte a clientes legados IKEv1 configurado, bem como aqueles que utilizam esses gateways como ponto de acesso remoto para colaboradores ou para túneis VPN site-to-site.

DESCRIÇÃO TÉCNICA

CVE-2026-50751 — Bypass de Autenticação no Check Point Remote Access VPN (IKEv1)

  • Tipo: CWE-287 — Improper Authentication.
  • Produto: Check Point Security Gateway (físico e virtual) e Spark Firewall.
  • Plataformas: Appliances físicos (Quantum series), instâncias virtuais (VMware, Azure, AWS, GCP) e Spark Firewall; todos com blade Remote Access VPN ou Mobile Access habilitado.
  • Versões afetadas: Security Gateways com hotfix disponível: R82.10 (Jumbo HF Take 19 ou inferior), R82 (Jumbo HF Take 103 ou inferior), R81.20 (Jumbo HF Take 141 ou inferior). Security Gateways em End-of-Life (sem hotfix / necessário upgrade): R81.10, R81 e R80.40. Spark Firewall com hotfix disponível: R81.10.X e R82.00.X. Spark Firewall EOS (sem hotfix): R80.20.X. Consultar advisory sk185033.
  • Interação necessária: Nenhuma. Ataque totalmente remoto, sem autenticação prévia.
  • Status do patch: Hotfix Disponível. Lançado em 08/06/2026 (advisory sk185033).
  • Exploração ativa confirmada: SIM, desde 07/05/2026, com escalada no início de junho de 2026. CISA KEV: adicionada em 08/06/2026.

Mecanismo: O blade Remote Access VPN e o Mobile Access suportam o protocolo IKEv1 para compatibilidade com clientes legados. Em gateways configurados para aceitar conexões IKEv1 sem exigir certificado de máquina do cliente, existe uma falha lógica no módulo de validação de certificados durante a fase de autenticação do handshake. A falha permite que um atacante conclua o handshake IKEv1 e estabeleça uma sessão VPN ativa sem apresentar credenciais de usuário ou segredo pré-compartilhado válidos. Após o estabelecimento da sessão, o atacante pode realizar reconhecimento da rede interna acessível ao perfil VPN comprometido, movimentação lateral e acesso a recursos internos.

Além dos gateways físicos e virtuais, podem estar igualmente expostos:

  • Instâncias virtuais (VMware, Azure, AWS, GCP) com blade Remote Access ou Mobile Access habilitado e IKEv1 configurado;
  • Ambientes de homologação e laboratório com gateways Check Point que tenham se tornado produtivos sem revisão de configuração;
  • Qualquer gateway acessível pela internet que aceite conexões IKEv1 de clientes legados sem exigência de certificado de máquina.

IMPACTO

A exploração bem-sucedida permite que um agente malicioso estabeleça conexões VPN não autorizadas sem credenciais válidas, obtendo acesso à rede interna protegida pelo gateway. A exploração ativa com afiliado de ransomware confirma a viabilidade e o impacto operacional da vulnerabilidade.

Impactos potenciais incluem:

  • Acesso não autorizado à rede interna sem necessidade de credenciais, por meio de sessão VPN indevidamente estabelecida.
  • Reconhecimento, movimentação lateral e acesso a sistemas e dados internos a partir da sessão VPN comprometida.
  • Implantação de ransomware, exfiltração de dados ou comprometimento de credenciais adicionais a partir da rede interna.
  • Contorno de controles de segurança perimetral implementados sobre o gateway.

Uma vulnerabilidade relacionada, CVE-2026-50752 (CVSS 7.4), foi identificada no mesmo código IKEv1 e pode ser explorada para ataques Man-in-the-Middle em túneis VPN site-to-site (advisory sk185035). Sem exploração ativa confirmada.

AÇÕES RECOMENDADAS

Ação imediata:

Aplicar o hotfix disponibilizado pelo fabricante em 08/06/2026 (advisory sk185033) em todos os Security Gateways e Spark Firewalls Check Point com Remote Access VPN ou Mobile Access habilitado. Hotfixes disponíveis para: Security Gateways R82.10 (Jumbo HF Take 19+), R82 (Jumbo HF Take 103+), R81.20 (Jumbo HF Take 141+); Spark Firewall R81.10.X e R82.00.X. Versões EOS (R81.10, R81, R80.40, R80.20.X) não possuem hotfix, então é necessário planejar upgrade para versão suportada. Caso a atualização imediata não seja viável, desabilitar o suporte a clientes IKEv1 legados (opção "Accept IKEv1 for Legacy Clients") como medida de mitigação temporária, avaliar impacto operacional antes.

Inventário:

Levantar todos os gateways Check Point no ambiente (appliances físicos, virtuais e Spark Firewalls), incluindo ambientes de homologação. Para cada gateway, verificar: (a) versão do Gaia OS instalada; (b) se o blade Remote Access VPN ou Mobile Access está habilitado; (c) se a opção de suporte a clientes IKEv1 legados está ativa.

Investigação de comprometimento:

Revisar logs de VPN no SmartConsole/SmartLog em busca de sessões IKEv1 anômalas, autenticações sem usuário associado, conexões de IPs não reconhecidos ou em horários incomuns, no período entre 07/05/2026 e a data de aplicação do hotfix. Acionar procedimentos de resposta a incidentes caso sejam identificadas evidências de exploração.

Ação complementar:

Avaliar e corrigir a exposição à CVE-2026-50752 (sk185035, CVSS 7.4) nos túneis VPN site-to-site. Verificar se há necessidade de manutenção do protocolo IKEv1 no ambiente e promover migração para IKEv2 onde aplicável.

OBSERVAÇÕES

  • Escopo da exploração: Dezenas de organizações-alvo globalmente confirmadas. Atividade pós-comprometimento atribuída com média confiança a afiliado do ransomware Qilin pelo fabricante.
  • CVE relacionada: CVE-2026-50752 (CVSS 7.4), MitM em túneis site-to-site. Sem exploração ativa confirmada. Corrigida no mesmo conjunto de hotfixes.

REFERÊNCIAS

Advisory CVE-2026-50752 (relacionada)
Check Point Security Advisory sk185035 (CVSS 7.4 — MitM IKEv1 site-to-site): https://support.checkpoint.com/results/sk/sk185035

Blog oficial Check Point
Check Point Blog — Patch Critical VPN Vulnerability: https://blog.checkpoint.com/security/check-point-releases-important-hotfix-for-vulnerabilities-in-deprecated-ikev1-vpn-protocol/

Pesquisa técnica e exploração
Rapid7 ETR (08/06/2026): https://www.rapid7.com/blog/post/etr-critical-check-point-vpn-zero-day-exploited-in-the-wild-cve-2026-50751/

Imprensa técnica especializada
BleepingComputer (08/06/2026): https://www.bleepingcomputer.com/news/security/cisa-orders-feds-to-patch-check-point-flaw-exploited-by-ransomware-gangs/

The Hacker News (08/06/2026): https://thehackernews.com/2026/06/critical-check-point-vpn-flaw-exploited.html

Compartilhe: