Eine Schwachstelle in **TrueConf**, einer beliebten Videokonferenzsoftware, wird aktiv ausgenutzt, was dringende Maßnahmen von der US-Regierung erfordert. ### CISA's Anweisung **CISA** hat eine Anweisung herausgegeben, die alle Bundesbehörden verpflichtet, **CVE-2026-3502** bis zum 16. April zu patchen. Diese Schwachstelle in **TrueConf** hat eine Schwerebewertung von 7,8 von 10 und stellt ein erhebliches Risiko dar. ### 'TrueChaos'-Kampagne Die Dringlichkeit folgt auf einen Bericht von **Check Point**-Forschern, der eine Hacking-Kampagne namens 'TrueChaos' detailliert beschreibt, die angeblich von chinesischen Akteuren durchgeführt wird. Die Kampagne zielt Berichten zufolge auf Regierungen in Südostasien ab und nutzt die **CVE-2026-3502**-Schwachstelle aus. **Check Point** gab an, dass die Ausnutzung Anfang 2026 begann und häufig das Penetration-Testing-Tool **Havoc** involvierte. Dieses Tool wurde im vergangenen Jahr wiederholt von chinesischen Bedrohungsakteuren eingesetzt. ### Details zur Schwachstelle Laut **Check Point** liegt die Schwachstelle im Validierungsmechanismus des Updater der Anwendung. Ein Angreifer, der die Kontrolle über einen **TrueConf**-Server vor Ort erlangt, kann diese Schwachstelle ausnutzen, um beliebige Dateien auf verbundenen Endpunkten zu verteilen und auszuführen. Dies geschieht über den vertrauenswürdigen Update-Kanal, bei dem bösartige Updates an ahnungslose Clients gesendet werden. ### Weitreichende Auswirkungen **TrueConf** wird weltweit in verschiedenen Organisationen in Asien, Europa und Amerika eingesetzt und bedient rund 100.000 Organisationen weltweit. Zu den Hauptnutzern gehören Regierungs-, Militär- und kritische Infrastruktursektoren, wo es für seine Fähigkeit geschätzt wird, Datenschutz und Kommunikationsautonomie zu gewährleisten, insbesondere in sicheren oder entfernten Umgebungen. **Check Point** hebt die Nützlichkeit von **TrueConf** in Gebieten mit begrenzter oder keiner Internetverbindung oder während Naturkatastrophen hervor, um die wesentliche Koordination zu erleichtern. Die Möglichkeit, den Server auf interner Hardware zu hosten, hält den gesamten Audio-, Video- und Chat-Verkehr vor Ort, mit Offline-Aktivierung für vollständig luftgegapte Systeme. ### Infektionsvektor Erste Infektionen erfolgen typischerweise über Links, die an Opfer gesendet werden, was zu einem Update auf eine neuere Version des **TrueConf**-Clients führt. Der Angreifer hat jedoch bereits das Update-Paket auf dem Server vor Ort durch eine präparierte Version ersetzt, um sicherzustellen, dass der Client während des Update-Prozesses eine bösartige Datei abruft. In einem Fall diente ein kompromittierter **TrueConf**-Server vor Ort, der von einer IT-Abteilung einer Regierung betrieben wurde, als Videokonferenzplattform für zahlreiche Regierungsstellen. Diese Stellen erhielten alle dasselbe bösartige Update. ### Zuschreibung zu chinesischen Akteuren **Check Point** schreibt die 'TrueChaos'-Kampagne chinesischen Akteuren zu, basierend auf den beobachteten Taktiken, Techniken und Prozeduren (TTPs) sowie der Verwendung von **Alibaba Cloud** und **Tencent**-Hosting-Tools. Darüber hinaus wurde dasselbe Opfer mit der **ShadowPad**-Malware angegriffen, einem bekannten Tool, das mit chinesischen Bedrohungsakteuren in Verbindung gebracht wird.