Uma vulnerabilidade no **TrueConf**, um popular software de videoconferência, está sob exploração ativa, exigindo ação urgente do governo dos EUA. ### Diretiva da CISA A **CISA** emitiu uma diretiva exigindo que todas as agências federais corrijam a **CVE-2026-3502** até 16 de abril. Esta vulnerabilidade no **TrueConf** possui uma pontuação de severidade de 7,8 em 10, indicando um risco significativo. ### Campanha "TrueChaos" A urgência segue um relatório dos pesquisadores da **Check Point** detalhando uma campanha de hacking, nomeada 'TrueChaos', supostamente conduzida por atores chineses. A campanha supostamente visa governos no Sudeste Asiático e explora a vulnerabilidade **CVE-2026-3502**. A **Check Point** afirmou que a exploração começou no início de 2026 e comumente envolveu a ferramenta de teste de penetração **Havoc**. Esta ferramenta tem sido usada repetidamente por atores de ameaça chineses no último ano. ### Detalhes da Vulnerabilidade De acordo com a **Check Point**, a vulnerabilidade reside no mecanismo de validação do atualizador da aplicação. Um atacante que ganha controle de um servidor **TrueConf** on-premises pode explorar essa falha para distribuir e executar arquivos arbitrários em endpoints conectados. Isso é alcançado através do canal de atualização confiável, onde atualizações maliciosas são enviadas para clientes desavisados. ### Impacto Generalizado O **TrueConf** é amplamente utilizado em várias organizações na Ásia, Europa e Américas, servindo aproximadamente 100.000 organizações globalmente. Seus principais usuários incluem setores governamentais, militares e de infraestrutura crítica, onde é valorizado por sua capacidade de garantir a privacidade dos dados e a autonomia da comunicação, especialmente em ambientes seguros ou remotos. A **Check Point** destaca a utilidade do **TrueConf** em áreas com conectividade limitada ou inexistente à internet, ou durante desastres naturais, facilitando a coordenação essencial. A capacidade de hospedar o servidor em hardware interno mantém todo o tráfego de áudio, vídeo e chat contido no local, com ativação offline disponível para sistemas totalmente isolados (air-gapped). ### Vetor de Infecção As infecções iniciais geralmente se originam de links enviados às vítimas, solicitando uma atualização para uma versão mais recente do cliente **TrueConf**. No entanto, o atacante já substituiu o pacote de atualização no servidor on-premises por uma versão comprometida, garantindo que o cliente obtenha um arquivo malicioso durante o processo de atualização. Em um caso, um servidor **TrueConf** on-premises comprometido, operado por um departamento de TI governamental, serviu como plataforma de videoconferência para várias entidades governamentais. Todas essas entidades receberam a mesma atualização maliciosa. ### Atribuição a Atores Chineses A **Check Point** atribui a campanha 'TrueChaos' a atores chineses com base nas táticas, técnicas e procedimentos (TTPs) observados, juntamente com o uso de ferramentas de hospedagem da **Alibaba Cloud** e **Tencent**. Além disso, a mesma vítima foi alvo do malware **ShadowPad**, uma ferramenta conhecida associada a atores de ameaça chineses.