Архив метки: TrueConf

Про уязвимость Remote Code Execution - TrueConf Client (CVE-2026-3502) и "Операцию TrueChaos"

Добавить комментарий

Про уязвимость Remote Code Execution - TrueConf Client (CVE-2026-3502) и Операцию TrueChaos

Про уязвимость Remote Code Execution - TrueConf Client (CVE-2026-3502) и "Операцию TrueChaos". Факт эксплуатации уязвимости клиента ВКС системы TrueConf в рамках кампании "TrueChaos", направленной на государственные структуры в Юго-Восточной Азии, обнаружили эксперты компании Check Point в начале 2026 года. Об этом они написали в блог-посте, вышедшем 31 марта. Они же зарепортили уязвимость вендору. После уведомления было разработано исправление, включенное в Windows-клиент TrueConf, начиная с версии 8.5.3 (выпущена в марте 2026 года).

Описание уязвимости: "Клиент TrueConf загружает код обновления приложения и применяет его без выполнения проверки. Злоумышленник, способный повлиять на путь доставки обновлений, может подменить полезную нагрузку обновления. Если такая нагрузка будет выполнена или установлена средством обновления, это может привести к выполнению произвольного кода в контексте процесса обновления или пользователя." CVSS:3.1/AV:A/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:L (7.8)

Фактически это значит, что атакующий, получивший контроль над сервером TrueConf (как именно это происходило в реальных атаках, не конкретизируется), может заменить легитимный пакет обновления на произвольный исполняемый файл и распространить его среди всех клиентов. Поскольку клиент доверяет серверу без надлежащей проверки, вредоносный файл выполняется под видом официального обновления.

Тут, конечно, можно сказать: раз уж сервер TrueConf был каким-то образом скомпрометирован, то чего удивляться, что через него скомпрометировали клиентов. 😏 Но, конечно, хорошо, что были внедрены меры безопасности, которые теперь затрудняют компрометацию через зловредные обновления, раздаваемые с сервера.

Скомпрометированный в рамках кампании "TrueChaos" сервер обслуживал десятки государственных учреждений, распространяя одно и то же вредоносное обновление. С высокой вероятностью в атаках использовался имплант Havoc - open-source фреймворк для постэксплуатации, позволяющий выполнять команды, управлять процессами, работать с токенами Windows, исполнять shellcode, загружать дополнительные payload-ы.

Честно говоря, я всегда воспринимал TrueConf как продукт, используемый только в России. Однако это не так. Эта платформа видеоконференций, поддерживающая как локальные (on-premises), так и облачные развёртывания, помимо России используется также в Восточной Азии, Европе и Америке. Более 100 000 организаций по всему миру используют её, включая правительства, оборонные структуры, критическую инфраструктуру, банки, энергетические компании и телеканалы. На странице Википедии упоминаются внедрения во Вьетнаме, Германии, Непале, Бангладеш. Учитывая, что CISA добавили 2 апреля уязвимость CVE-2026-3502 в CISA KEV, вероятно, что TrueConf может использоваться и в федеральных агентствах США.

Финализировали статистику по трендовым уязвимостям 2025 года по версии Positive Technologies

Добавить комментарий

Финализировали статистику по трендовым уязвимостям 2025 года по версии Positive Technologies
Финализировали статистику по трендовым уязвимостям 2025 года по версии Positive TechnologiesФинализировали статистику по трендовым уязвимостям 2025 года по версии Positive TechnologiesФинализировали статистику по трендовым уязвимостям 2025 года по версии Positive TechnologiesФинализировали статистику по трендовым уязвимостям 2025 года по версии Positive TechnologiesФинализировали статистику по трендовым уязвимостям 2025 года по версии Positive Technologies

Финализировали статистику по трендовым уязвимостям 2025 года по версии Positive Technologies. За прошлый год добавили 66 трендовых уязвимостей (в 2024 было побольше - 74).

🔻 Для 54 уязвимостей (82%) есть признаки эксплуатации в атаках, для 12 (18%) есть публичные эксплойты без признаков эксплуатации. "Потенциальных" уязвимостей нет.

🔻 Большая часть трендовых уязвимостей имеет тип RCE (31, 47%), на втором месте EoP (20, 30%).

🔻 В отечественных коммерческих продуктах было обнаружено 4 трендовые уязвимости (в CommuniGate Pro и TrueConf Server). Все остальные касаются зарубежных коммерческих продуктов и проектов с открытым кодом.

🔻 Компания Microsoft остаётся основным "поставщиком" трендовых уязвимостей: 31 уязвимость, 46% от общего количества (в 2024 году было 45%).

➡️ Перечень всех уязвимостей с разбивкой на группы смотрите в посте на Хабре, а подробности по уязвимостям в отчёте Vulristics.

🎞 Также есть видео-версия. 😉

Коллеги по PT ESC-у сообщают о массовой эксплуатации цепочки трендовых уязвимостей Remote Code Execution - TrueConf Server (BDU:2025-10116, BDU:2025-10115, BDU:2025-10114) в атаках APT-группировки

Добавить комментарий

Коллеги по PT ESC-у сообщают о массовой эксплуатации цепочки трендовых уязвимостей Remote Code Execution - TrueConf Server (BDU:2025-10116, BDU:2025-10115, BDU:2025-10114) в атаках APT-группировки

Коллеги по PT ESC-у сообщают о массовой эксплуатации цепочки трендовых уязвимостей Remote Code Execution - TrueConf Server (BDU:2025-10116, BDU:2025-10115, BDU:2025-10114) в атаках APT-группировки PhantomCore. Приводятся списки инструментов, используемых в атаках, файловые пути и IoC-и. В конце октября об эксплуатации этих уязвимостей также сообщали специалисты RED Security и СICADA8.

⚙️ Цепочка уязвимостей в TrueConf Server была обнаружена экспертом PT SWARM Никитой Петровым. Обновления безопасности, устраняющие уязвимости, вышли 27 августа 2025 года.

🟥 Уязвимости в списке трендовых Positive Technologies с 28 августа 2025 года. Мы их подсвечивали в сентябрьском дайджесте трендовых уязвимостей.

Те, кто среагировали, обнаружили и устранили уязвимости в августе-сентябре, молодцы. 👍 А те, кто проигнорировали предупреждения и пострадали, надеюсь, извлекут из этого урок. 🙏

Сентябрьский "В тренде VM": уязвимости в архиваторах WinRAR и 7-Zip, SAP NetWeaver и TrueConf Server

Добавить комментарий

Сентябрьский В тренде VM: уязвимости в архиваторах WinRAR и 7-Zip, SAP NetWeaver и TrueConf Server

Сентябрьский "В тренде VM": уязвимости в архиваторах WinRAR и 7-Zip, SAP NetWeaver и TrueConf Server. Традиционная ежемесячная подборка. И первая подборка БЕЗ уязвимостей в продуктах Microsoft! 😲🙂

🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Всего восемь идентификаторов трендовых уязвимостей в четырёх продуктах:

🔻 Remote Code Execution - WinRAR (CVE-2025-6218, CVE-2025-8088). Эксплуатируемая RCE при распаковке архивов.
🔻 Remote Code Execution - SAP NetWeaver (CVE-2025-31324, CVE-2025-42999). Эксплуатируемая RCE в компоненте популярной ERP-системы.
🔻 Remote Code Execution - 7-Zip (CVE-2025-55188). Преимущественно Linux-овая RCE при распаковке архивов, есть публичный эксплойт.
🔻 Remote Code Execution - TrueConf Server (BDU:2025-10116, BDU:2025-10115, BDU:2025-10114). Критичные уязвимости популярной российской ВКС.

Про уязвимость Remote Code Execution - TrueConf Server (BDU:2025-10116, BDU:2025-10115, BDU:2025-10114)

1 комментарий

Про уязвимость Remote Code Execution - TrueConf Server (BDU:2025-10116, BDU:2025-10115, BDU:2025-10114)

Про уязвимость Remote Code Execution - TrueConf Server (BDU:2025-10116, BDU:2025-10115, BDU:2025-10114). TrueConf Server - популярный российский корпоративный мессенджер и ВКС-система. Цепочка критических уязвимостей в TrueConf Server была обнаружена экспертом PT SWARM Никитой Петровым:

🔻 Уязвимость BDU:2025-10114 связана с недостаточным контролем доступа и позволяет злоумышленнику делать запросы к некоторым административным эндпоинтам без проверки прав и аутентификации.

🔻 Уязвимость BDU:2025-10115 позволяет злоумышленнику осуществить чтение произвольных файлов в системе.

🔻 Самая критичная - BDU:2025-10116 позволяет потенциальному злоумышленнику внедрить и выполнить произвольные команды ОС.

⚙️ Обновления безопасности вышли 27 августа 2025 года.

👾🛠 upd. Отмечаются признаки эксплуатации в реальных атаках с 22 октября.

🌐 По данным Positive Technologies, только в России насчитывается более 7000 инсталляций TrueConf Server.