Napadači zloupotrebili TrueConf zero-day za slanje lažnih nadogradnji
Napadači su zloupotrebili zero-day ranjivost CVE-2026-3502 u TrueConf serverima kako bi svim povezanim klijentima isporučili zlonamerne datoteke pod izgovorom legitimne nadogradnje. Problem je nastao zbog izostanka provere integriteta u mehanizmu ažuriranja, pa kompromitovan on-premises server može da zameni pravi update proizvoljnim izvršnim fajlom. Check Point navodi da je kampanja, praćena kao TrueChaos, od početka godine ciljala državne institucije u jugoistočnoj Aziji.
Posebna težina ovog slučaja je u tome što se poverenje u interni server za ažuriranje pretvara u kanal za masovnu kompromitaciju klijenata. Kod ovakvih sistema problem nije samo jedan zaražen računar, već mogućnost da centralna tačka pogura malware ka velikom broju korisnika odjednom.
- Odmah proveriti da li se koristi TrueConf u verzijama 8.1.0 do 8.5.2 i preći na 8.5.3
- Pregledati servere i klijente na indikatore kompromitacije iz izveštaja istraživača
- Posebno proveriti tragove kao što su poweriso.exe, 7z-x64.dll i sumnjive putanje u AppData
- Ograničiti i nadzirati pristup on-premises TrueConf serverima kao kritičnoj tački poverenja
- Preispitati mehanizme distribucije internih nadogradnji i uvesti dodatnu proveru integriteta