サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、TrueConf Clientに影響を与える重大なセキュリティ欠陥を公式に既知の悪用される脆弱性(KEV)カタログに追加しました。
この追加は、脅威アクターが現実の攻撃でこのバグを積極的に悪用していることを示す明確な証拠に続くものです。
脆弱性(CVE-2026-3502)
CVE-2026-3502として追跡されるこの欠陥は、「整合性チェックなしのコードダウンロード」脆弱性(CWE-494)に分類されます。
簡単に言えば、TrueConf Clientがソフトウェアアップデートをダウンロードするとき、ファイルが本物で改ざんされていないかどうかを適切に検証することができません。
整合性チェックは通常、デジタルの安全シールとして機能します。このシールがないため、更新配信パスを傍受または制御する攻撃者は、正規のアップデートを悪意のあるペイロードと簡単に入れ替えることができます。
ソフトウェアがこの改ざんされたファイルを自動的に実行またはインストールするとき、攻撃者は任意のコード実行を達成します。
これにより、ユーザーまたは更新プロセスと同じ権限で悪意のあるコマンドを実行でき、システム全体の乗っ取りにつながる可能性があります。
CISAはKEVカタログを積極的に悪用されている欠陥を追跡および管理するための優先リストとして維持しています。
2026年4月2日にCVE-2026-3502をこのリストに追加することで、CISAはネットワーク防御者にとって即座の証明された脅威であることを強調しています。
現在のところ、ランサムウェアグループがこの特定の脆弱性をキャンペーンで活用しているかどうかは不明ですが、任意のコード実行を実行する能力は、あらゆるタイプの脅威アクターにとって非常に魅力的です。
ハッカーは頻繁にこれらの未検証アップデートチャネルを、機密データを盗む、バックドアをインストールする、または企業ネットワーク全体に横展開するためのエントリーポイントとして使用します。
必須アクションと期限
デジタルインフラストラクチャを保護するため、CISAは改善のための厳しいガイドラインを発行しました:
- ベンダー軽減策を適用する: 組織は、TrueConfが提供するセキュリティパッチまたは防御措置を直ちに確認して適用する必要があります。
- パッチ適用期限を満たす: 連邦機関は、拘束力のある運用指令(BOD)22-01の要件に従い、2026年4月16日までにこの欠陥からシステムを保護する必要があります。
- 必要に応じて使用を中止する: 組織が必要な軽減策を適用できない場合、またはその特定のバージョンに対するパッチがない場合、TrueConf Clientが適切に保護されるまで使用を中止する必要があります。
4月16日の期限は法律上連邦機関にのみ適用されますが、CISAは、不正アクセスを防ぐために、このフローの修正を優先するようすべての民間企業およびグローバル組織に強く促しています。
翻訳元: https://gbhackers.com/cisa-includes-trueconf-security-flaw-in-kev-catalog/
