指尖日報 科技情報組
全球企業與政府機構常用的視訊會議軟體TrueConf,正成為駭客鎖定的新目標。美國網路安全與基礎設施安全局(CISA)於2026年4月2日發出緊急警告,已將TrueConf用戶端軟體的一項嚴重漏洞,列入其「已知遭利用漏洞(KEV)」目錄中,證實該漏洞已在野外遭到駭客積極利用。
這項被標記為CVE-2026-3502的漏洞,問題出在軟體更新的環節。根據CISA的說明,TrueConf用戶端在下載更新檔案時,缺乏完整的完整性檢查機制。 這形同為攻擊者敞開一扇大門,讓他們得以在更新傳輸路徑上攔截並替換成惡意動過手腳的偽冒更新檔。
一旦使用者不疑有他地執行了這個「特洛伊木馬」式的更新,攻擊者便可能在受害者的電腦上執行任意程式碼。 這意味著從竊取機密資料、植入勒索軟體到完全控制系統,都可能成為駭客的囊中之物。其潛在的破壞力,對於高度依賴視訊會議進行遠端辦公與溝通的現代企業而言,顯然是個巨大威脅。
CISA將漏洞列入KEV目錄,本身就是一個強烈的警訊。這代表該漏洞不再只是實驗室裡的理論風險,而是已經被網路犯罪者或駭客組織實際用於攻擊的武器。 CISA此舉旨在將防禦資源從成千上萬的漏洞公告中,聚焦到真正構成即時威脅的少數關鍵漏洞上,協助各單位進行更有效率的風險排序。
依據「约束性操作指令22-01」(BOD 22-01),CISA已要求所有美國聯邦行政部門機構(FCEB)必須在2026年4月16日之前完成修補或採取緩解措施。 雖然此指令的強制力僅及於聯邦機構,但CISA強烈敦促所有公私領域的組織,都應立即檢視內部是否有使用受影響的TrueConf軟體,並盡快安裝官方發布的安全更新。
資安專家分析指出,這類針對軟體更新流程的攻擊,凸顯了供應鏈安全的重要性日益增加。 許多組織在漏洞管理上仍面臨挑戰,包括資產盤點不清、修補流程繁瑣冗長等,而這些延遲正是攻擊者賴以成功的溫床。 在威脅節奏不斷加快的今天,能否跟上CISA這類威脅情資的更新速度,並迅速採取行動,已成為現代網路防禦的成敗關鍵。
相關報導:cisa.gov、windowsforum.com
