Asya’daki bir hükümetin BT dolabında masum masum yanıp sönen sunucu ışıkları. Sonra — bam — zehirli güncelleme devreye giriyor, onlarca uç noktayı fısıltısız enfekte ediyor.
İşte TrueConf sıfır gün hikayesi, CVE-2026-3502, Check Point’in TrueChaos operasyonunda adlandırdığı Çinli ekip tarafından silahlandırılmış. Bu tür hikayeleri 20 yıldır kovalıyorum, Silikon Vadisi VC abartılarından gerçek ihlallere kadar, ve bu tam bir klasik: güncellemene güven, ele geçiril.
TrueConf kendini tedirgin hükümetler ve ordular için güvenli seçenek olarak pazarlıyor. Şirket içi sunucu, internete gerek yok, hatta hava yalıtımlı. Ses, video, sohbet — hepsi yerinde kilitli. Zoom’un bulut casuslarından kaçan paranoyak tipler için mükemmel geliyor, değil mi? Ama sorun şu: istemci güncelleme süreci? Şaka gibi.
Bütünlük denetimi yok. Kimlik doğrulama yok. İstemci sunucuda daha yeni sürüm görüyor, kullanıcıyı soruyor — evet’e tıkla, kötü niyetli kod özgürce koşuyor.
Çinli Hackerlar ‘Kırılamaz’ Sistemi Nasıl Çökertti
Hackerlar bireysel makinelerle uğraşmadı. Akıllıca. Hükümetin kendi BT ekibinin yönettiği merkezi şirket içi TrueConf sunucusunu ele geçirdiler. Orijinal güncelleme paketini tuzaklı bir yenisiyle değiştirdiler. Kötü niyetli bir kütüphane bıraktılar, temiz bir yürütülebilir üzerinden yan yüklediler. Patlama: keşif, kalıcılık, yanal hareket için implant. Hatta Havoc C2 framework IP’lerine ev telefon açtı.
Check Point tam isabet:
“Ele geçirilen TrueConf şirket içi sunucusu, hükümet BT departmanı tarafından işletiliyordu ve ülke genelinde onlarca hükümet birimine video konferans platformu olarak hizmet veriyordu; hepsi aynı kötü niyetli güncellemeyle beslendi.”
Onlarca. Tek sunucu, kitlesel enfeksiyon. Güven ilişkisini kurt postunda kurt gibi sömürdüler.
CVSS puanı? 7.8. Yüksek, ama kıyamet seviyesi değil — hedefleri hesaba katana kadar: hükümetler, kritik altyapı. Root’a ne gerek var ki, bütün ağ sende?
Ama hava yalıtımlı? Çevrimdışı aktivasyon? Evet, satış konuşması. Gerçekte istemciler hâlâ sunucudan güncelleme çekiyor. Orada oyna, ve puff — hava boşluğu kötü yazılımla doluyor.
Bu filmi daha önce gördüm. SolarWinds’i hatırlayın mı? Devletler güvenilir güncellemeleri kaçırarak büyük balıkları vuruyor. TrueConf en son devam filmi, ama çevrimdışı kitle için. Tahmin: taklitçiler bekleyin. Her ‘güvenli’ şirket içi araç artık bir vektör.
Neden Hükümetler Bu Sahtekarlığa Sürekli Kanıyor?
Bakın, TrueConf bunu Mart’ta 8.5.3’te düzeltti. CISA’nın KEV listesinde şimdi, 16 Nisan’a kadar yamala yoksa, ey fedler. Ama kaç gerici var dışarıda? Hükümetler eski ekipmanlarını sever — güncelleme yavaş, denetim daha yavaş.
Cynical tarafım soruyor: kim gerçekten kazanıyor? Check Point manşetleri kapıyor, TrueConf yamalar (ve satışlar?) itiyor, Çinli aktörler zanaatlarını test ediyor. Son kullanıcılar? Temizlik faturasını ödüyor.
Check Point’in gördüğü implant son yükü kapmadı ama Havoc bağları post-istismar eğlencesi bağırıyor. Keşif, kalıcılık — büyük şov için hazırlık.
Kısa para: Yama. Hemen.
Daha derine inelim, bu hava yalıtım mitini ifşa ediyor. Duvar örüyorsun ama asma köprü — güncellemeler, USB’ler, içeridenler — açık kalıyor. TrueConf akışı sunucuya kör güven üzerineydi. İmza denetimi yok, hash yok. ‘Kurumsal’ ekipman için acemi hatası.
Kimsenin bahsetmediği tarihi paralellik? Yıllar önce Shadow Brokers NSA araçlarını döküyor, ama tersine çevir: devlet aktörleri artık rutin olarak tedarik zincirlerini ele geçiriyor. Bu sıfır gün sihri değil; tedarik zinciri güvenliği 101’i ihmalkar satıcılara karşı kötüye kullanma.
Yama Sonrası TrueConf Hâlâ Güvenli mi?
Yamalandı mı? Tabii, 8.5.3 sürümü deliği kapatıyor. Ama güven aşınması sonsuza dek. Hükümetler şimdi alternatif tarıyor, bahse girerim. Rakipler daha iyi denetimler övüyorken neden riske girsinler?
Şu var — TrueConf’un nişi ‘otonomi ve gizlilik’ti. TrueChaos sonrası, bu PR şarapneli. ‘Öğrenilen dersler’ diye döndürürler ama kullanıcılar düzeltmeleri değil, ihlalleri hatırlar.
Saldırganlar? Check Point IOC’lerine göre Çinli. Şaşırtıcı değil — Asya hedefleri, devlet zanaatı. Ama büyütün: ya bir sonrakinde NATO şirket içi?
Orta lokma: Satıcılar, adam olun. İstemciler en azından kod imzalama hak ediyor.
Dolaşan düşünce: ‘zero-trust’ buzzword’u ortalıkta uçuşuyor ama bu? Saf güven istismarı. Nasıl da ironik.
Bu Kurumunuz İçin Neden Önemli?
Hükümet değil misiniz? Yeniden düşünün. TrueConf kritik altyapıda da var. Takımınız benzer şirket içi VC’deyse — RingCentral, Jitsi, neyse — o güncellemeleri denetleyin. Sunucular güncelleme merkezi mi? Kırmızı bayrak.
Benzersiz bakış: bu ‘doğrulanmış güncelleme’ servislerinde patlama öngörüyor. Bir startup paraya çevirecek, VC’ler bayılacak. Bu arada gerçek güvenlik sıkıcı: yama yönetimi, anomali tespiti.
CISA son tarihi yaklaşıyor. Yoksayın, istismar kulübüne katılın.
Altı cümle derin dalış: Saldırı zinciri zarif — sunucuyu ele geçir (BT’yi phishing? İçeriden?), paketi modla, istemcilerin kontrolünü bekle. Gürültülü exploit yok, sadece sabır. Implant’ın DLL yan yükü? Eski numara, her daim taze. Havoc C2? Açık kaynak, inkar edilebilir. Çinli aktörler Batı araçlarında level atlıyor. SIEM’in yakaladı mı? Muhtemelen hayır, eğer bulut için ayarlıysa.
Vuruş: Kör güncellemeleri bırakın.
🧬 İlgili İçgörüler
- Daha fazla oku: Honeypots Snag Vite Probes Hunting AWS Keys on Exposed Dev Servers
- Daha fazla oku: Casbaneiro Gang’s Sneaky Dynamic PDFs Hit Enterprises in LatAm and Europe
Sıkça Sorulan Sorular
TrueConf sıfır gün CVE-2026-3502 nedir?
Şirket içi sunucudan denetimsiz güncellemelerle saldırganların kod çalıştırmasını sağlayan bir kusur. 8.5.3’te düzeltildi.
Hükümet saldırılarını TrueConf’u kim istismar etti?
Check Point’e göre Çinli hackerlar, Asya birimlerini hedefleyerek ele geçirilmiş merkezi sunucu üzerinden.
TrueConf hava yalıtımlı ağlar için şimdi güvenli mi?
Yamanlanmış istemciler güvenli, ama kurulumunuzu denetleyin — sunucular hâlâ giriş noktası olabilir.
