CISA Adds TrueConf Vulnerability to KEV Catalog Following Active Exploitation
2026/04/06 CyberSecurityNews — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、TrueConf の深刻な脆弱性を Known Exploited Vulnerabilities (KEV) カタログへ正式に追加した。この脆弱性 CVE-2026-3502 は、実環境においてアクティブに悪用されているため、ネットワーク保護のための速やかな対応が、連邦機関および民間組織に求められる。
この脆弱性は TrueConf Client 内に存在し、コードのダウンロードにおける整合性検証の欠如の問題として CWE-494 に分類されている。
TrueConf ソフトウェアが、通常のアップデート処理を実行する際に、受信ファイルのデジタル真正性および整合性の検証が適切に行われない状況にある。この構造的な欠陥を突く攻撃者は、格好の侵入の機会を得ることになる。
アップデートぼための配信ネットワークを、攻撃者が傍受/偽装/操作することで、改竄済みの悪意のペイロードによる正規アップデートの置き換えが可能になる。TrueConf アップデータが、この偽ファイルを実行/インストールすると、攻撃者に任意コード実行権限が付与され、被害のシステム上での不正コマンドの実行が可能となる。
システム・コンフィグによっては、攻撃者によるは対象マシンの完全な制御が可能となり、持続的なバックドア設置や企業ネットワーク内での横展開に至る恐れがある。
CISA は 2026年04月02日に、この欠陥を KEV カタログへ追加し、2026年04月16日を修正期限として設定した。Federal Civilian Executive Branch (FCEB) 機関は Binding Operational Directive (BOD) 22-01 に基づき、この期限までにシステムを保護する法的義務を負う。
TrueConf を利用するセキュリティチームおよびネットワーク管理者は、以下の対策を実施する必要がある:
- ベンダー指示に従い、すべての緩和策およびセキュリティ・アップデートを適用する。
- 関連クラウド・サービスについては、BOD 22-01 ガイダンスに従い、ネットワーク経路の安全性を確保する。
- 公式のパッチ/緩和策が利用できない場合には、製品の使用を直ちに停止する。
現時点において、この脆弱性をランサムウェア攻撃の関連性については不明である。
この脆弱性の悪用により、任意コード実行が容易に可能になるため、マルウェア展開およびデータ窃取における極めて有効な侵入口となり得る。
CISA のパッチ適用指令は、連邦機関に限定されるものであるが、TrueConf を使用する民間企業/教育機関/個人に対してセキュリティ専門家たちが強く推奨するのは、パッチの速やかな適用である。
訳者後書:ビデオ会議ソリューション TrueConf の脆弱性 CVE-2026-3502 が、CISA KEV リストに追加されました。この問題は、アップデート・ファイルをダウンロードする際の、ファイル改竄を確認するための整合性チェックの不具合に起因します。CISA KEV に登録されたとうことは、米連邦政府機関内で悪用が検知されたことを意味します。ご利用のチームは、ご注意ください。よろしければ、CISA KEV ページも、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.