Про уязвимость Remote Code Execution - TrueConf Client (CVE-2026-3502) и "Операцию TrueChaos". Факт эксплуатации уязвимости клиента ВКС системы TrueConf в рамках кампании "TrueChaos", направленной на государственные структуры в Юго-Восточной Азии, обнаружили эксперты компании Check Point в начале 2026 года. Об этом они написали в блог-посте, вышедшем 31 марта. Они же зарепортили уязвимость вендору. После уведомления было разработано исправление, включенное в Windows-клиент TrueConf, начиная с версии 8.5.3 (выпущена в марте 2026 года).

Описание уязвимости: "Клиент TrueConf загружает код обновления приложения и применяет его без выполнения проверки. Злоумышленник, способный повлиять на путь доставки обновлений, может подменить полезную нагрузку обновления. Если такая нагрузка будет выполнена или установлена средством обновления, это может привести к выполнению произвольного кода в контексте процесса обновления или пользователя." CVSS:3.1/AV:A/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:L (7.8)

Фактически это значит, что атакующий, получивший контроль над сервером TrueConf (как именно это происходило в реальных атаках, не конкретизируется), может заменить легитимный пакет обновления на произвольный исполняемый файл и распространить его среди всех клиентов. Поскольку клиент доверяет серверу без надлежащей проверки, вредоносный файл выполняется под видом официального обновления.

Тут, конечно, можно сказать: раз уж сервер TrueConf был каким-то образом скомпрометирован, то чего удивляться, что через него скомпрометировали клиентов. 😏 Но, конечно, хорошо, что были внедрены меры безопасности, которые теперь затрудняют компрометацию через зловредные обновления, раздаваемые с сервера.

Скомпрометированный в рамках кампании "TrueChaos" сервер обслуживал десятки государственных учреждений, распространяя одно и то же вредоносное обновление. С высокой вероятностью в атаках использовался имплант Havoc - open-source фреймворк для постэксплуатации, позволяющий выполнять команды, управлять процессами, работать с токенами Windows, исполнять shellcode, загружать дополнительные payload-ы.

Честно говоря, я всегда воспринимал TrueConf как продукт, используемый только в России. Однако это не так. Эта платформа видеоконференций, поддерживающая как локальные (on-premises), так и облачные развёртывания, помимо России используется также в Восточной Азии, Европе и Америке. Более 100 000 организаций по всему миру используют её, включая правительства, оборонные структуры, критическую инфраструктуру, банки, энергетические компании и телеканалы. На странице Википедии упоминаются внедрения во Вьетнаме, Германии, Непале, Бангладеш. Учитывая, что CISA добавили 2 апреля уязвимость CVE-2026-3502 в CISA KEV, вероятно, что TrueConf может использоваться и в федеральных агентствах США.