TrueConf bị khai thác lỗ hổng Zero-Day tấn công chính phủ châu Á

Kẻ tấn công mạng Trung Quốc đã khai thác một lỗ hổng zero-day nghiêm trọng trong phần mềm gọi điện video TrueConf, gây ra các cuộc tấn công nhắm vào các cơ quan chính phủ tại châu Á, theo báo cáo từ Check Point.

Hình minh họa cuộc tấn công mạng qua video conferencing

Lỗ hổng được đánh số CVE-2026-3502 với điểm số CVSS là 7.8, cho phép thực thi mã độc nếu kẻ tấn công có thể thao túng mã nguồn cập nhật. Tấn công này, được Check Point đặt tên là "TrueChaos", đã diễn ra thông qua việc khai thác cơ chế cập nhật phần mềm.

Cơ chế tấn công và lây lan

TrueConf thường được triển khai dưới dạng máy chủ nội bộ (on-premises) cho các cơ quan chính phủ, quân đội và hạ tầng quan trọng để đảm bảo sự riêng tư và độc lập mạng. Tuy nhiên, luồng cập nhật của phần mềm này lại phụ thuộc hoàn toàn vào máy chủ nội bộ để tải xuống và cài đặt phiên bản mới mà không thực hiện các kiểm tra tính toàn vẹn và xác thực cần thiết.

Trong cuộc tấn công, hacker đã chiếm được máy chủ TrueConf nội bộ thuộc bộ phận IT của chính phủ, sau đó thay thế gói cập nhật hợp pháp bằng một gói chứa mã độc. Họ gửi đường link cho mục tiêu kích hoạt trình khách TrueConf, dẫn đến việc tải xuống và chạy gói cài đặt gian lận.

Mô hình bảo mật và lỗ hổng trong hệ thống

Bên cạnh các thành phần cài đặt hợp pháp, gói cập nhật gian lận đã cài đặt một thư viện độc hại và một tệp thực thi hợp lệ bị lạm dụng để thực thi thư viện thông qua kỹ thuật "DLL sideloading". Kẻ tấn công đã sử dụng công cụ này để thực hiện trinh sát mạng, chuẩn bị cho việc chuyển động ngang (lateral movement), duy trì kết nối và tải xuống các payload bổ sung.

Check Point nhận thấy có giao tiếp mạng với địa chỉ IP được sử dụng làm hạ tầng lệnh điều khiển (C&C) cho Havoc, một framework tấn công mã nguồn mở. Cơ quan này tin rằng một nhóm tội phạm mạng Trung Quốc chịu trách nhiệm cho cuộc xâm nhập này.

Khắc phục và khuyến nghị

Lợi dụng mối quan hệ tin cậy giữa máy chủ TrueConf nội bộ và các máy khách, kẻ tấn công không cần phải xâm nhập từng điểm cuối riêng lẻ. Tấn công này đã lan rộng đến hơn một chục cơ quan chính phủ được cung cấp cùng một bản cập nhật độc hại.

TrueConf đã khắc phục lỗ hổng zero-day này trong phiên bản 8.5.3 của trình khách, được phát hành vào tháng 3. Ngày thứ Tư, Cục An ninh Mạng Của Hoa Kỳ (CISA) đã đưa lỗ hổng này vào danh mục các lỗ hổng bị khai thác (Known Exploited Vulnerabilities - KEV), thúc giục các cơ quan liên bang vá lỗi trước ngày 16 tháng 4.

Biểu tượng an ninh mạng

Bài viết liên quan: Các lỗ hổng ShareFile nghiêm trọng dẫn đến RCE không xác thực; React2Shell bị khai thác trong chiến dịch thu thập thông tin đăng nhập quy mô lớn; Cisco vá các lỗ hổng nghiêm trọng và cao độ.