# CVE-2026-3502 - Zero-Day no TrueConf Client Explorado em Operação TrueChaos > [!danger] Severidade Alta — CVSS 7.8 > CVSS: 7.8 (Alto) · Vendor: **TrueConf** · Zero-day explorado ativamente · Patch: aguardando disponibilidade · Campanha: **Operation TrueChaos** (Check Point Research) ## Resumo **CVE-2026-3502** é uma vulnerabilidade zero-day no cliente de videoconferência **TrueConf**, com pontuação CVSS 7.8 (Alto). A falha foi identificada pelo **Check Point Research** em 31 de março de 2026 como parte da investigação da campanha [[operation-truechaos|Operation TrueChaos]], direcionada a **entidades governamentais no Sudeste Asiático**. A exploração ativa in the wild foi confirmada antes da disponibilidade de um patch, caracterizando um zero-day genuíno. O vetor de ataque é local (AV:L), requerendo interação do usuário (UI:R), o que sugere entrega via arquivo malicioso ou link que, ao ser aberto pelo cliente TrueConf, aciona a vulnerabilidade. **Pontuação de risco:** - CVSS v3.1: **7.8** (Alto) - EPSS: dados não disponíveis — CVE recém-publicado - CISA KEV: não listado até a data desta nota - Exploit: **zero-day explorado ativamente in the wild** — sem patch disponível confirmado ## Impacto Técnico Com base no CVSS vector `CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H`, esta vulnerabilidade impacta os três pilares de segurança: - **Confidencialidade (C:H):** acesso a dados confidenciais no contexto do usuário — potencialmente incluindo histórico de videoconferências, arquivos transferidos e credenciais armazenadas pelo cliente - **Integridade (I:H):** modificação de dados e arquivos no sistema da vítima - **Disponibilidade (A:H):** possibilidade de tornar o sistema inacessível ou causar crash do aplicativo **Vetor local com interação do usuário:** o atacante precisa fazer a vítima interagir com um arquivo ou link malicioso (ex: convite de reunião armadilhado, arquivo de configuração malicioso), mas não precisa de privilégios prévios no sistema. **Impacto para organizações LATAM/Brasil:** O TrueConf é utilizado em ambientes corporativos e governamentais que buscam alternativas a plataformas americanas de videoconferência (Zoom, Teams). Organizações governamentais brasileiras que adotaram o TrueConf como solução de comunicação interna devem considerar esta CVE de alta prioridade enquanto um patch não está disponível. ## Produtos Afetados | Vendor | Produto | Versão Afetada | Versão com Fix | |--------|---------|----------------|----------------| | [[trueconf\|TrueConf]] | TrueConf Client | Versões anteriores ao patch | Aguardando lançamento | **Importante:** Verificar o advisory oficial da TrueConf para informações atualizadas sobre versões específicas afetadas e disponibilidade de patch. ## Contexto: Operation TrueChaos Esta CVE foi identificada no contexto da **[[operation-truechaos|Operation TrueChaos]]**, campanha APT investigada pelo Check Point Research e divulgada em 31 de março de 2026. A operação tem como alvos **entidades governamentais no Sudeste Asiático**, sugerindo motivação de **espionagem cibernética** com interesse em acesso a comunicações governamentais. O uso de uma zero-day em um cliente de videoconferência é uma técnica eficaz para grupos de espionagem: reuniões de alto nível são realizadas através desses clientes, e comprometer o software de comunicação pode fornecer ao adversário acesso a conteúdo sensível de reuniões, lista de contatos e arquivos transferidos. **Atribuição:** Check Point Research não divulgou atribuição específica a um grupo de ameaça na publicação inicial. Monitorar atualizações da campanha [[operation-truechaos|Operation TrueChaos]] para atribuição. ## Exploração Ativa **Status atual:** zero-day explorado in the wild — exploração confirmada antes do patch **Evidências de uso em ataques:** - 2026-03-31: Check Point Research publica análise da Operation TrueChaos, confirmando exploração ativa de CVE-2026-3502 em alvos governamentais do Sudeste Asiático **Grupos de ameaça utilizando:** - Grupo não atribuído publicamente — operação TrueChaos sugere actor de espionagem estatal (contexto: alvos governamentais, vetor sofisticado) **Campanhas associadas:** - [[operation-truechaos|Operation TrueChaos]] — 2026-03-31, alvos governamentais Sudeste Asiático ## Patch e Mitigação **Patch oficial:** - Status: **aguardando lançamento** — CVE zero-day sem patch disponível confirmado em 2026-03-31 - Monitorar o site oficial TrueConf e canais de segurança para anúncio de versão corrigida **Mitigações temporárias** (enquanto patch não está disponível): - **Desinstalar ou desabilitar o TrueConf Client** em sistemas de alto risco enquanto patch não está disponível — especialmente em sistemas usados para comunicações governamentais sensíveis - Substituir temporariamente por alternativas para comunicações críticas - Restringir uso do TrueConf a redes isoladas/segmentadas com monitoramento reforçado - Não abrir arquivos ou links recebidos via TrueConf de fontes não verificadas - Monitorar processos do TrueConf Client para comportamento anômalo (acesso a arquivos fora do perfil do app, conexões de rede incomuns) ## CISA KEV Esta vulnerabilidade **não está listada** no CISA Known Exploited Vulnerabilities Catalog em 2026-03-31. Dado que a exploração ativa foi confirmada pelo Check Point Research, monitorar se a CISA adicionará esta CVE ao catálogo KEV nas próximas semanas — presença no KEV indicaria reconhecimento oficial de exploração ativa e acionaria prazos de remediação obrigatória para agências federais americanas. ## Notas Relacionadas **Campanha associada:** [[operation-truechaos|Operation TrueChaos]] **Vendor:** [[trueconf|TrueConf]] **TTPs relacionadas:** [[t1203-exploitation-for-client-execution|T1203 - Exploitation for Client Execution]] · [[t1566-phishing|T1566 - Phishing]] · [[t1204-user-execution|T1204 - User Execution]] **Setores em risco:** [[government|Governo]] · [[technology|Tecnologia]] **Contexto geográfico:** Sudeste Asiático (alvos confirmados) · Global (risco para usuários TrueConf) **CVEs relacionados (zero-days em clientes de comunicação):** [[cve-2023-4966|CVE-2023-4966]] ## Referências - [Check Point Research — Operation TrueChaos](https://research.checkpoint.com/) - 2026-03-31 - [TrueConf Security Advisory](https://trueconf.com/) - monitorar para patch