Nieuws
image

'Overheden aangevallen via beveiligingslek in videovergaderplatform TrueConf'

donderdag 2 april 2026, 12:02 door Redactie, 3 reacties

Overheidsinstanties in Zuidoost-Azië zijn aangevallen via een kwetsbaarheid in het videovergaderplatform TrueConf. Op het moment van de aanvallen was er nog geen beveiligingsupdate beschikbaar. Inmiddels is de ontwikkelaar wel met een patch gekomen, zo laat securitybedrijf Check Point in een analyse weten. TrueConf biedt een on-premises oplossing voor videovergaderen.

Check Point meldt dat het begin dit jaar een aantal gerichte aanvallen tegen overheidsinstanties in Zuidoost-Azië heeft waargenomen, die plaatsvonden via de on-premises TrueConf-servers van getroffen instanties. De aanvallers bleken misbruik te maken van een kwetsbaarheid aangeduid als CVE-2026-3502. Het betreft een probleem in de updater van de clientsoftware. De updater op de systemen van TrueConf-gebruikers downloadt en installeert updates van de TrueConf-server, zonder die te verifiëren.

Aanvallers die toegang tot de TrueConf-server hebben kunnen zo onder alle clients binnen de betreffende organisatie malafide updates met malware uitrollen. Check Point meldt dat het een dergelijke aanval heeft waargenomen, waarbij de TrueConf-server van een niet nader genoemd land werd gehackt en voorzien van een malafide update. Hoe de aanvallers toegang tot de server konden krijgen laat het securitybedrijf niet weten.

Tientallen overheidsinstanties in het betreffende land maken gebruik van deze server en alle clients binnen deze instanties ontvingen de malafide update. De onderzoekers konden niet achterhalen welke malware er uiteindelijk via de malafide update werd geïnstalleerd. TrueConf heeft gisteren versie 8.5.3 uitgebracht waarin CVE-2026-3502 is verholpen. Volgens Check Point zijn de aanvallen door een aan China gelieerde aanvaller uitgevoerd.

Reacties (3)
Reageer met quote
02-04-2026, 12:47 door Anoniem
Het gaat weer over gesloten software.
Reageer met quote
02-04-2026, 13:57 door Anoniem
Door Anoniem: Het gaat weer over gesloten software.
Goed voor de afwisseling, na alle Trivy, LiteLLM en Axios incidenten.
Reageer met quote
03-04-2026, 11:46 door Anoniem
Door Anoniem:
Door Anoniem: Het gaat weer over gesloten software.
Goed voor de afwisseling, na alle Trivy, LiteLLM en Axios incidenten.

Axios incident heeft niets te maken met open source. De malware heeft namelijk helemaal niet in de broncode op Github gestaan.

Enkel de NPM account van de ontwikkelaar is gecompromiteerd en overgenomen, en is gebruikt om direct manueel een versie van axios 14.1.0 te herpubliceren als 14.1.1 met een extra dependency (de malware payload) aan de package.json metadata toegevoegd.

Het feit dat versie 14.1.1 met de hand gepubliceerd is ipv via een geautomatiseerde build vanaf een Github build agent, dat dit zonder de gebruikelijke provenance informatie die bij voorgaande versies wel zat gebeurd is, dat er op Github niet een versie tag voor een 14.1.1 release bestond, alsmede het feit dat het geregistreerde contact email-adres van de ontwikkelaar ineens gewijzigd was, hebben bij security firma's gespecialiseerd in proactief detecteren van malware binnen NPM vrijwel meteen alarmbellen doen rinkelen.

het compromitteren van een Office365 admin account gebeurd dagelijks.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure Full Stack Training 2026 Salt Road: Compromised Components