CISA dá três dias a agências federais para corrigir zero-day em VPN da Check Point explorado pelo Qilin

A CISA adicionou na noite de domingo (8) a CVE-2026-50751 ao seu catálogo de Known Exploited Vulnerabilities e deu prazo até 11 de junho para que agências do Federal Civilian Executive Branch apliquem o hotfix da Check Point, janela de apenas três dias úteis. A falha, com CVSS 9.3, é um bypass de autenticação no Remote Access VPN e no Mobile Access da Check Point quando configurados sobre o protocolo IKEv1, considerado depreciado. Um atacante remoto consegue estabelecer sessão de VPN sem senha válida ao explorar uma fragilidade lógica na validação de certificados.

A própria Check Point confirmou em comunicado que a exploração ativa começou em 7 de maio, antes do patch existir, e que o pico de indicadores suspeitos apareceu em 4 de junho. A vendor identificou ainda uma segunda vulnerabilidade durante a investigação, CVE-2026-50752, que afeta a validação de certificados em comunicações site-to-site sobre IKEv1 e pode habilitar interferência man-in-the-middle sob condições específicas.

Qilin: o ransomware mais ativo do trimestre

A atribuição não veio de telemetria de terceiros. A Check Point afirmou ter confirmado, em pelo menos um caso, atividade pós-comprometimento associada a um afiliado do Qilin, grupo que despontou como a operação de ransomware mais ativa por três trimestres consecutivos. Dados do primeiro trimestre de 2026 contam 338 vítimas postadas pelo Qilin no leak site, e o cumulativo do ano já passa de 500. Manufatura concentra 291 vítimas, serviços corporativos 245 e saúde 168, segundo a base do PurpleOps. Entre 2 e 5 de junho, o coletivo reivindicou 15 novas vítimas em nove países, com presença em saúde, hospitalidade, manufatura, serviços ao consumidor e infraestrutura crítica.

A infraestrutura de ataque mapeada pela Check Point Research roda em VPS de Kaupo Cloud HK, Shock Hosting e Vultr Holdings, todos provedores comerciais que aceitam pagamento descentralizado. Até o fechamento desta matéria, a Check Point reportava "algumas dezenas" de organizações afetadas globalmente. Nenhuma vítima foi nomeada publicamente pela vendor, e nenhuma das organizações apontadas no leak site do Qilin durante a janela de exploração se pronunciou ligando o incidente diretamente à CVE-2026-50751.

Quem está exposto

O patch cobre Security Gateways nas linhas R82.10 (Jumbo Hotfix Take 19 ou inferior), R82 (Take 103 ou inferior) e R81.20 (Take 141 ou inferior), além de Spark Firewalls nas versões R80.20.X, R81.10.X e R82.00.X. A Check Point disponibilizou os hotfixes pelo Security Knowledge Base SK185033 e recomendou, paralelamente, desabilitar o IKEv1 em favor do IKEv2 nas configurações de Remote Access e Mobile Access. Para clientes que mantêm IKEv1 por razões de compatibilidade com cliente VPN legado, a vendor sugere isolamento temporário do serviço até a aplicação do fix.

A leitura geográfica do risco se desdobra em dois eixos. Nos Estados Unidos, onde a CISA mantém poder de coerção sobre o FCEB, o prazo de 11 de junho cria ônus operacional imediato em departamentos federais e nos contractors da base industrial de defesa que rodam Check Point em perímetro. Na Europa, onde o ENISA não tem poder equivalente de emergência, a obrigação cai sobre o reporte do GDPR caso dados pessoais tenham sido acessados e sobre a NIS2 para operadores de serviços essenciais. Empresas alemãs e francesas com filiais no Brasil que rodam VPN corporativa centralizada em Tel Aviv ou Frankfurt sobre appliance Check Point precisam mapear se o IKEv1 está habilitado em qualquer ponto da topologia: o vetor é remoto e não exige interação do usuário.

A janela entre 7 de maio e o hotfix mede 32 dias de exploração sem patch, padrão que se repete em vulnerabilidades de edge devices nos últimos 18 meses. Ivanti, Fortinet, Citrix NetScaler, Palo Alto Networks e agora Check Point: o perímetro empresarial virou a porta de entrada favorita do ransomware, e o tempo médio entre primeira exploração e disclosure não para de cair. CISOs que continuam tratando appliance de VPN como infra estável e de baixo risco estão lendo o mercado errado. O Qilin não foi o primeiro a usar essa porta e não será o último.