概要

CISA（サイバーセキュリティおよびインフラストラクチャセキュリティ庁）は、TrueConf Clientで発見された重要なセキュリティ脆弱性をそのKnown Exploited Vulnerabilities (KEV)カタログに追加しました。この脆弱性（CVE-2026-3502）は、攻撃者が実際に悪用していることが確認されています。

脆弱性の詳細

CVE-2026-3502は、「ダウンロードされたコードの整合性チェックなし」（CWE-494）と分類される脆弱性です。この脆弱性により、TrueConf Clientがソフトウェア更新をダウンロードする際に、ファイルが正当なものであるか確認できない状態になります。

通常、整合性チェックはデジタルの安全なシールとして機能します。しかし、このシールがないため、攻撃者はアップデート配信経路を傍受または制御することで、正当な更新ファイルを悪意のあるペイロードに置き換えることができます。

ソフトウェアが自動的にこの改ざんされたファイルを実行またはインストールすると、攻撃者は任意のコードを実行することができます。これにより、ユーザーと同じ権限で悪意のあるコマンドを実行することが可能になり、システム全体を乗っ取る可能性があります。

CISAによる対応

CISAは、この脆弱性が現実世界の攻撃で実際に悪用されていることを確認し、KEVカタログに追加しました。これは、ネットワークセキュリティ担当者が直面している即時かつ具体的な脅威であることを示しています。

対策と期限

• ベンダーからの修正プログラムの適用: TrueConfから提供されるセキュリティパッチや防御措置をすぐに確認し、適用する必要があります。
• パッチ適用の期限:連邦機関は、2026年4月16日までにこの脆弱性に対する対策を講じる必要があります。これはBinding Operational Directive (BOD) 22-01によって要求されています。
• 使用停止: 対策が適用できない場合やパッチがない場合は、TrueConf Clientの使用を停止し、適切に保護されるまで利用しないでください。

CISAは、連邦機関に対して4月16日までの期限を設けていますが、すべての民間企業とグローバルな組織には同様に対策を優先的に講じることを強く推奨しています。

元記事: https://gbhackers.com/cisa-includes-trueconf-security-flaw-in-kev-catalog/