Угрозы активно используют критическую уязвимость в платформе видеоконференцсвязи TrueConf для распространения вредоносного ПО. Уязвимость, отслеживаемая как CVE-2026-3502, существует в механизме обновления программного обеспечения. Эта уязвимость, получившая средний уровень опасности, возникает из-за отсутствия проверки целостности. Это упущение позволяет злоумышленникам, скомпрометировавшим локальный сервер TrueConf, заменить законный пакет обновления вредоносным исполняемым файлом. Затем вредоносное обновление представляется как текущая версия приложения и автоматически распространяется на все подключенные клиентские конечные точки, что позволяет выполнять произвольный код на этих системах.
Кампания, названная исследователями Check Point «TrueChaos», активна с начала года и целенаправленно атаковала государственные структуры в Юго-Восточной Азии. TrueConf — популярная платформа для безопасных видеоконференций с самостоятельным размещением, которую приняли более 100 000 организаций, включая военные подразделения, государственные учреждения и корпорации критической инфраструктуры в сферах нефти, газа и управления воздушным движением, во время пандемии COVID-19 для удаленной работы. Её типичное развертывание в закрытых, изолированных средах сделало её привлекательной целью для атак, ориентированных на шпионаж, поскольку компрометация центрального сервера обеспечивает прямой канал доступа ко многим защищенным конечным точкам.
Этот инцидент подчеркивает постоянный и высокоэффективный вектор атаки: компрометацию доверенных каналов обновления программного обеспечения. Когда злоумышленники могут подорвать собственную систему управления обновлениями или распространения программ организации, они обходят многие традиционные периметровые защиты. Следовательно, командам безопасности необходимо не только сосредотачиваться на внешних угрозах, но и тщательно контролировать целостность внутренних сетевых служб и процессов обновления. Реализация проверки цифровой подписи кода, использование проверки хэшей для обновлений и сегментация сетевого трафика для критических серверов являются важными защитными мерами.
Организациям, использующим серверы TrueConf, необходимо немедленно убедиться, что они работают на последней исправленной версии, выпущенной поставщиком в ответ на CVE-2026-3502. Кроме того, это служит серьезным напоминанием для всех предприятий, полагающихся на инструменты совместной работы и связи с самостоятельным размещением. Всесторонний аудит безопасности всех внутренних служб, особенно тех, которые имеют возможности автоматического обновления, имеет решающее значение. Проверка целостности последних обновлений, анализ журналов доступа к серверу на предмет несанкционированной активности и обучение пользователей настороженно относиться к неожиданным запросам на обновление — ключевые шаги по смягчению последствий таких атак, подобных атакам на цепочку поставок.
