Cve-2026-3502

Hackers têm atacado servidores de conferência TrueConf, explorando uma vulnerabilidade zero-day identificada como CVE-2026-3502, que permite a execução de arquivos arbitrários em todos os pontos finais conectados. A falha, classificada como de severidade média, resulta de uma verificação de integridade ausente no mecanismo de atualização do software, possibilitando que um invasor substitua uma atualização legítima por uma variante maliciosa. O TrueConf, utilizado por mais de 100 mil organizações, incluindo forças armadas e agências governamentais, é uma plataforma de videoconferência que pode ser hospedada localmente ou na nuvem. A campanha de ataques, denominada TrueChaos, tem como alvo entidades governamentais no Sudeste Asiático e é atribuída a um ator de ameaça com vínculos chineses. Os pesquisadores da CheckPoint identificaram que, ao obter controle do servidor TrueConf, um atacante pode distribuir arquivos maliciosos disfarçados de atualizações legítimas. A vulnerabilidade afeta as versões 8.1.0 a 8.5.2, e um patch foi disponibilizado na versão 8.5.3 em março de 2026. Os sinais de comprometimento incluem a presença de arquivos suspeitos e tráfego de rede associado a uma infraestrutura de comando e controle chamada Havoc.

Uma falha de segurança de alta gravidade foi identificada no software de videoconferência TrueConf, classificada como CVE-2026-3502, com um score CVSS de 7.8. Essa vulnerabilidade permite que atacantes distribuam atualizações maliciosas, resultando na execução de código arbitrário em sistemas vulneráveis. A falha foi explorada em uma campanha chamada TrueChaos, que visa entidades governamentais no Sudeste Asiático. A Check Point, empresa de cibersegurança, relatou que a vulnerabilidade se origina de uma verificação de integridade inadequada no mecanismo de atualização do TrueConf, permitindo que um servidor comprometido substitua pacotes de atualização legítimos por versões adulteradas. O ataque pode implantar o framework de comando e controle Havoc em pontos finais vulneráveis. A exploração dessa vulnerabilidade não requer a comprometimento de cada endpoint individualmente, mas sim a manipulação da relação de confiança entre o servidor TrueConf e seus clientes. A atualização para a versão 8.5.3 do TrueConf já corrige essa falha, mas a ameaça persiste, especialmente considerando a atribuição do ataque a um ator de ameaça com vínculos chineses.