ビデオ会議ツール「TrueConf」にゼロデイ攻撃 - アップデート機能に脆弱性
オンライン会議ツール「TrueConf」に対するゼロデイ攻撃が明らかとなった。正規のアップデート機能に脆弱性が存在し、政府機関に対する攻撃などに悪用されたという。
同ソフトウェアのアップデート機能において、ダウンロードしたプログラムの真正性を確認しないまま、実行する脆弱性「CVE-2026-3502」が判明したもの。攻撃者がサーバを制御できる場合、クライアントに対して悪意あるプログラムを配布し、任意のコードを実行させることが可能となる。
同脆弱性を発見、報告したCheck Point Software Technologiesは、東南アジア地域において政府機関を標的とした攻撃キャンペーン「TrueChaos」のゼロデイ攻撃で悪用されたと指摘。「TrueConf」のクライアントソフトを通じてマルウェア「Havoc」が展開されたという。
同社は、コマンド&コントロールサーバなど攻撃に用いられたインフラや攻撃の手口、被害地域の状況など複数の要素を踏まえると、中程度の確度で中国と関係のある攻撃グループが関与した可能性があると分析している。
共通脆弱性評価システム「CVSSv3.1」のベーススコアを「7.8」、重要度を4段階中2番目にあたる「高(High)」とレーティングした。
(Security NEXT - 2026/04/03 )
ツイート
PR
関連記事
「FortiBleed」に国内組織の情報も - 影響調査など実施を
DB管理ツール「pgAdmin 4」に脆弱性 - 3件が「クリティカル」
Synology製NAS向けのメールサーバアドオンに深刻な脆弱性
「OpenDJ」にクリティカル脆弱性 - アップデートで修正
「Node.js」に12件の脆弱性 - 修正版を公開
ID管理基盤「OpenAM」にアップデート - 多数の脆弱性を修正
UbiquitiやLantronix製品の脆弱性悪用に注意喚起 - 米当局
「Chrome」に「クリティカル」4件を含む脆弱性修正アップデート
Cisco、7月1日の脆弱性修正を事前予告 - 「Catalyst Center」など対象
シンクライアント管理製品「Dell WMS」に深刻な脆弱性

