**Check Point** emitiu atualizações de segurança críticas para corrigir uma vulnerabilidade zero-day, rastreada como **CVE-2026-50751**, que tem sido ativamente explorada na natureza. A falha afeta implantações de VPN de Acesso Remoto e Acesso Móvel da **Check Point**, permitindo que atacantes não autenticados contornem a autenticação. ### Falha Crítica de VPN Sob Ataque Ativo A vulnerabilidade, **CVE-2026-50751**, permite que atacantes remotos estabeleçam uma conexão VPN sem autenticação adequada em VPNs de Acesso Móvel / SSL VPNs, VPNs de Acesso Remoto ou firewalls Spark visados. A exploração começou em 7 de maio, com um aumento na atividade observado no início de junho. **Check Point** confirmou que os ataques afetaram "algumas dezenas" de organizações globalmente. Disturbadoramente, pelo menos um desses incidentes foi diretamente ligado à atividade pós-comprometimento pelo afiliado do ransomware **Qilin**. ### A Vulnerabilidade Explicada Essa falha crítica atinge especificamente implantações configuradas para usar o protocolo de troca de chaves **IKEv1** obsoleto. Além disso, os sistemas afetados são aqueles com gateways de segurança que aceitam clientes de Acesso Remoto legados e não exigem um certificado de máquina para conexões. O **Check Point Research** enfatizou a urgência da situação: "O Check Point Research identificou a exploração ativa da **CVE-2026-50751**, uma vulnerabilidade crítica de bypass de autenticação afetando implantações de VPN de Acesso Remoto e Acesso Móvel da **Check Point** configuradas para usar o protocolo de troca de chaves **IKEv1** obsoleto... Clientes que usam o protocolo de troca de chaves **IKEv1** são fortemente encorajados a aplicar as atualizações de segurança disponíveis imediatamente." ### Mitigação e uma Segunda Descoberta Para organizações que não conseguem aplicar patches imediatamente, a **Check Point** forneceu várias medidas de mitigação. Estas incluem remover o suporte para o cliente de acesso remoto legado, configurar propriedades globais para Autenticação de VPN de Acesso Remoto apenas para **IKEv2**, tornar a Autenticação de Certificado de Máquina obrigatória e habilitar IPS com assinaturas atualizadas. Durante sua investigação sobre a **CVE-2026-50751**, o **Check Point** descobriu uma segunda vulnerabilidade, **CVE-2026-50752**. Essa falha afeta a validação de certificados dentro da troca de chaves **IKEv1** obsoleta, potencialmente permitindo ataques man-in-the-middle em conexões VPN site-to-site. Embora não haja evidências de que a **CVE-2026-50752** esteja sendo explorada na natureza, os clientes são aconselhados a aplicar atualizações para mitigar qualquer exposição potencial. ### Entendendo a Ameaça do Qilin A operação de ransomware **Qilin**, inicialmente conhecida como "Agenda", surgiu em agosto de 2022 como um provedor proeminente de **Ransomware-as-a-Service (RaaS)**. Desde sua criação, o grupo reivindicou responsabilidade por quase 400 vítimas, frequentemente listando-as em seu site de vazamento na dark web. O **Qilin** visou uma gama diversificada de organizações de alto perfil em vários setores. Vítimas notáveis incluem a gigante automotiva **Yangfeng**, a fabricante japonesa de automóveis **Nissan**, a cervejaria **Asahi**, a gigante editorial **Lee Enterprises**, a provedora de serviços de patologia **Synnovis** e os **Serviços Judiciais de Victoria da Austrália**. O elo confirmado entre o **Qilin** e a vulnerabilidade zero-day da VPN da **Check Point** destaca a ameaça persistente e em evolução representada por esses grupos de ransomware sofisticados.