概要
Check Point Researchは、TrueConfビデオ会議クライアントに存在する深刻なゼロデイ脆弱性を発見しました。この脆弱性はCVE-2026-3502と呼ばれ、CVSSスコアが7.8となっています。
この脆弱性は現在、東南アジアの政府機関に対する標的型攻撃で悪用されています。
脆弱性の詳細
CVE-2026-3502
TrueConfは、世界中で使用されている人気のあるビデオ会議プラットフォームであり、特に政府、軍事、および重要なインフラストラクチャセクターが安全なオンプレミスネットワークを必要とする場合に広く利用されています。
このソフトウェアは、インターネットアクセスなしでプライベートローカルネットワーク内で完全に動作するように設計されており、厳格なデータプライバシーを確保します。しかし、Check Pointの研究者は、TrueConfクライアントが更新を処理する方法における重大な脆弱性を見つけました。
アプリケーションが起動すると、オンプレミスサーバーで新しいバージョンがあるかどうかを確認します。更新が利用可能である場合、クライアントはそれをダウンロードしてインストールします。この更新プロセスには、認証とファイルの整合性に対する適切なセキュリティチェックが欠けています。
攻撃チェーン
Operation TrueChaos
- 脅威アクターは、政府IT部門の中央TrueConfサーバーを乗っ取りました。このサーバーは数十の政府機関に接続されていました。
- 脅威アクターは正当な更新ファイルを武器化されたパッケージで置き換え、すべての接続されたエンドポイントを同時に感染させました。
- 更新が正常に行われた後、2つの隠しファイル(poweriso.exeと7z-x64.dll)がドロップされました。
脅威アクターはDLLサイドローディングという技術を使用して悪意のあるDLLファイルをシステムに読み込みました。その後、ネットワークのマッピングや実行中のプロセスの確認などの偵察コマンドを実行しました。
対策
TrueConfはバージョン8.5.3をリリースし、この問題を修正しています。組織はすぐにベンダーパッチを適用する必要があります。
- 署名されていない更新ファイルの存在を確認します。
- ProgramDataフォルダー内に予期しないpoweriso.exeや7z-x64.dllが存在することを確認します。
- 不正なレジストリ実行キーがないことを確認します。
インディケーターズオブコムプロイズ(IOC)
- trueconf_windows_update.exe – 悪意のあるTrueConfクライアント更新ファイル
- iscsiexe.dll – ローダー
- 7z-x64.dll – Havocインプラント
- 43.134.90[.]60 – Havoc C2
- 43.134.52[.]221 – Havoc C2
- 47.237.15[.]197 – Havoc C2
元記事: https://gbhackers.com/trueconf-vulnerability-under-active-exploitation/