Check Point Researchは、東南アジア全域の政府機関を標的とした高度なスパイキャンペーンで悪用されている、TrueConfビデオ会議クライアントの致命的なゼロデイ脆弱性を発見しました。
CVE-2026-3502として追跡され、CVSSスコアは7.8で、この欠陥は「Operation TrueChaos」というキャンペーンで武器化されています。
攻撃者はアプリケーションの信頼できる更新メカニズムを悪用して、ユーザーの疑いを引き起こさずに、脆弱なマシンにHavocエクスプロイト後フレームワークを静かに配信しています。
TrueConfは広く展開されているビデオ会議プラットフォームです。政府機関、軍事組織、および重要インフラ事業者によって使用されています。
その主な売りは、プライベートなエアギャップローカルネットワーク内で完全に動作でき、インターネットが不要であり、機密環境での信頼できる選択肢となっています。
しかし、研究者たちはTrueConfクライアントがソフトウェア更新をどのように処理するかに関して深刻な欠陥を発見しました。
アプリケーションが起動するたびに、オンプレミスサーバーに接続して新しいバージョンがあるかチェックします。
存在する場合、クライアントは自動的にダウンロードしてインストールします。致命的な問題:この更新プロセスは認証チェックとファイル整合性検証を行いません。
中央TrueConfサーバーを制御する任意の攻撃者は、正規の更新を悪意のあるペイロードで静かに置き換えることができ、すべての接続クライアントはそれを疑問なく実行します。
観察された攻撃では、脅威行為者が政府のIT部門の中央TrueConfサーバーを侵害しました。これは数十の政府機関に接続された単一の障害ポイントです。
正規の更新パッケージを武器化されたものと交換することで、彼らはすべての接続されたエンドポイントを同時に感染させ、各マシンを個別に侵害する必要を回避しました。
悪意のある更新はユーザーには正常に見えましたが、バックグラウンドで2つの隠しファイルをドロップしました:poweriso.exeという正規に見える実行ファイルと、7z-x64.dllという悪意のあるライブラリです。
使用された戦術、技術、およびクラウドホスティングインフラに基づいて、 Check Point研究者は評価しており、中国関連の脅威行為者がOperation TrueChaosの背後にいると中程度の確信度で判断しています。
TrueConfはこの脆弱性に対処するためにバージョン8.5.3をリリースしました。
組織はこのパッチを直ちに適用する必要があります。
ディフェンダーは以下の侵害指標を探すべきです:
翻訳元: https://cyberpress.org/trueconf-zero-day-exploited/