A Check Point Software emitiu a 8 de junho de 2026 um aviso de segurança de emergência sobre a CVE-2026-50751, uma vulnerabilidade crítica de contorno de autenticação (CVSS 9.3) nos seus produtos Remote Access VPN e Mobile Access, quando configurados com o protocolo de troca de chaves IKEv1 — já considerado obsoleto. A falha está a ser ativamente explorada desde pelo menos 7 de maio de 2026, e um afiliado do ransomware Qilin está associado, com confiança média, a um dos ataques confirmados. Estão disponíveis hotfixes para as versões suportadas, e a aplicação imediata é urgente.
O que é a CVE-2026-50751
A vulnerabilidade resulta de uma falha lógica no processo de validação de certificados do mecanismo de troca de chaves IKEv1. Em consequência desta falha, um atacante remoto e não autenticado consegue estabelecer uma sessão VPN de acesso remoto sem necessitar de uma palavra-passe válida — contornando completamente os requisitos de autenticação de utilizador. O atacante precisa, no entanto, de realizar atividade adicional para aceder a recursos internos da rede ou escalar privilégios após o acesso inicial.
A falha afeta os seguintes produtos e versões da Check Point:
- Security Gateways com R82.10 Jumbo Hotfix Take 19 ou inferior
- Security Gateways com R82 Jumbo Hotfix Take 103 ou inferior
- Security Gateways com R81.20 Jumbo Hotfix Take 141 ou inferior
- R81.10 (em fim de suporte)
- Spark Firewall — appliance orientada a pequenas e médias empresas e a prestadores de serviços geridos (MSP)
A exploração requer que quatro condições estejam reunidas em simultâneo: Remote Access VPN ou Mobile Access ativo, configuração com IKEv1, utilização do cliente de acesso remoto legado com certificado, e ausência do hotfix. Organizações que já migraram para IKEv2 não são afetadas por esta vulnerabilidade específica.
Exploração ativa e ligação ao ransomware Qilin
A Check Point detectou atividade suspeita a 4 de junho de 2026 e lançou uma investigação que revelou que a exploração desta falha remonta a 7 de maio — ou seja, os atacantes tiveram um mês de vantagem antes de qualquer correção estar disponível. O número de tentativas de exploração intensificou-se no início de junho.
Dezenas de organizações a nível global foram alvo. Um dos casos envolve, com confiança média, um afiliado do grupo de ransomware Qilin — uma operação de Ransomware-as-a-Service ativa desde 2022. O atacante utilizou infraestrutura dedicada de servidores privados virtuais (VPS) nos fornecedores Kaupo Cloud HK, Shock Hosting e Vultr Holdings, e recorreu ao software de código aberto Rclone para exfiltrar dados das organizações comprometidas. A Check Point nota que os mesmos atores provavelmente exploram vulnerabilidades similares em produtos VPN da Palo Alto Networks, Fortinet e F5.
Segunda vulnerabilidade identificada durante a investigação
Durante o processo de investigação da CVE-2026-50751, a Check Point identificou uma segunda falha, designada CVE-2026-50752 (CVSS 7.4). Esta afeta a validação de certificados no mesmo protocolo IKEv1 legado e pode permitir ataques de intermediário (man-in-the-middle) em comunicações VPN de ponto-a-ponto (site-to-site). Até à data do aviso, não foram registados casos de exploração desta segunda vulnerabilidade em ambiente real, mas a Check Point recomenda igualmente a aplicação das correções.
O que devem fazer as organizações afetadas
Correção recomendada (ação imediata): aplicar os hotfixes disponíveis para as versões suportadas, disponíveis no portal da Check Point.
Mitigações alternativas, para quem não puder aplicar o patch de imediato:
- Remover o suporte ao cliente de acesso remoto legado (legacy remote access client).
- Configurar as propriedades globais do Remote Access VPN para autenticação IKEv2 apenas.
- Tornar a autenticação por certificado de máquina (Machine Certificate Authentication) obrigatória.
- Ativar o IPS e fazer download das assinaturas atualizadas.
Revisão forense: as equipas de segurança devem auditar logs do Check Point SmartConsole em busca de tentativas de autenticação VPN por certificado desde 7 de maio de 2026, e verificar se existem correlações com os indicadores de compromisso (IPs de atacantes, nomes de sujeito de certificado) publicados pela Check Point no aviso de segurança.
Porque é que isto importa
Os produtos VPN da Check Point são utilizados por um número muito significativo de organizações empresariais e de setor público em todo o mundo, incluindo em Portugal. A presença do Spark Firewall — produto especificamente desenhado para PME e MSP — no âmbito das versões afetadas alarga substancialmente a superfície de risco além das grandes empresas.
Este incidente insere-se num padrão preocupante e documentado: appliances de perímetro — VPNs, firewalls, dispositivos de acesso remoto — tornaram-se o vetor de entrada preferido de grupos de ransomware e de atores patrocinados por estados. Segundo o Google Threat Intelligence Group, a exploração de vulnerabilidades desconhecidas (zero-days) em dispositivos de rede acelerou em 2026, com um intervalo cada vez mais curto entre a descoberta de uma falha e a sua exploração massiva.
No contexto do Regime Jurídico da Cibersegurança (Decreto-Lei n.º 125/2025, transposição da diretiva NIS2), as entidades essenciais e importantes têm obrigação de gerir ativamente as vulnerabilidades nos sistemas que suportam os seus serviços. A aplicação de hotfixes em VPNs de acesso remoto, a desativação de protocolos legados e a monitorização de logs de autenticação são precisamente o tipo de medidas que a lei exige e que este incidente torna urgentes.
Esta informação tem caráter noticioso e baseia-se em dados divulgados publicamente pela Check Point Software Technologies no seu aviso de segurança de 8 de junho de 2026, e em publicações especializadas como a Bleeping Computer, The Hacker News e a Help Net Security.