CISA, telemessage TM SGNL’de tehdit aktörlerinin şu anda aktif saldırı kampanyalarında sömürdüğü konusunda iki kritik güvenlik açığı hakkında acil bir uyarı yayınladı.
CVE-2025-48927 ve CVE-2025-48928 olarak izlenen güvenlik açıkları, bu iletişim platformunu kullanan kuruluşlar için önemli güvenlik riskleri oluşturmaktadır ve CISA, 1 Temmuz 2025’te bilinen sömürülen güvenlik açıkları (KEV) kataloğuna her iki kusur ekler.
Key Takeaways
1. CVE-2025-48927 and CVE-2025-48928 expose sensitive data through insecure Spring Boot Actuator and JSP configurations in TeleMessage TM SGNL.
2. CISA confirmed active exploitation and set a remediation deadline of July 22, 2025, for federal agencies.
3. Apply vendor patches immediately or discontinue product use in accordance with BOD 22-01 guidance.
4. Unpatched systems risk data theft, privilege escalation, and potential ransomware attacks.
Kuruluşlar, altyapılarını potansiyel uzlaşmalardan korumak için gerekli hafifletmeleri uygulamak veya etkilenen ürünün kullanımını durdurmak için 22 Temmuz 2025’e kadar vardır.
Spring Boot Aktüatör Kususu (CVE-2025-48927)
İlk güvenlik açığı olan CVE-2025-48927, CWE-1188 altında sınıflandırılan güvensiz varsayılan yapılandırma kusuruna sahip bir kaynağın başlatılmasını temsil eder.
Bu kritik güvenlik zayıflığı, /yığın uri yolu aracılığıyla erişilebilen hassas bir yığın dökümü uç noktasını yanlışlıkla ortaya çıkaran yay önyükleme aktüatör bileşeninin yanlış yapılandırılmasından kaynaklanmaktadır.
Bu yanlış yapılandırma, yetkisiz saldırganların kimlik doğrulama kimlik bilgileri, oturum jetonları ve uygulamanın bellek alanında depolanan diğer gizli veriler de dahil olmak üzere potansiyel olarak hassas bilgiler içeren bellek dökümlerine erişmesine izin verir.
Çekirdek Döküm pozlama kusuru (CVE-2025-48928)
İkinci güvenlik açığı olan CVE-2025-48928, çekirdek döküm dosyalarının CWE-528 altında kategorize edilmiş yetkisiz kontrol kürelerine maruz kalmasını içerir.
Bu kusur, yığın içeriğinin geleneksel çekirdek dökümlere eşdeğer bir şekilde erişilebilir hale geldiği platformun JSP (Javaserver sayfaları) uygulama mimarisini etkiler.
Güvenlik açığı özellikle ilgilidir, çünkü daha önce HTTP bağlantıları üzerinden iletilen şifreleri ve diğer hassas kimlik doğrulama verilerini ortaya çıkarabilir ve güvenli iletişim için telemessage TM SGNL’ye dayanan kuruluşlar için önemli bir veri maruziyet riski oluşturabilir.
| Cves | Tanım | Etkilenen ürünler | CVSS 3.1 puanı |
| CVE-2025-48927 | Güvensiz varsayılan güvenlik açığı ile bir kaynağın başlatılması. | Telemessage tm sgnl | 5.3 (Orta) |
| CVE-2025-48928 | Temel döküm dosyasının yetkisiz bir kontrol küresi güvenlik açığına maruz kalması | Telemessage tm sgnl | 4.0 (Orta) |
Hafifletme
CISA, her iki güvenlik açıklarını da aktif olarak sömürülen tehditler olarak sınıflandırmıştır, ancak ajans fidye yazılımı kampanyalarında potansiyel kullanımlarının şu anda bilinmemektedir.
Federal Siber Güvenlik Ajansı, kuruluşların mevcutsa, bu güvenlik kusurlarının kritik doğasını vurgulayarak hemen satıcı tarafından sağlanan hafifletmeler uygulamalarını şiddetle tavsiye eder.
Buna ek olarak, CISA kuruluşlara özellikle bulut hizmetleri güvenlik gereksinimleriyle ilgili geçerli bağlayıcı Operasyonel Direktif (BOD) 22-01 rehberliğini takip etmelerini tavsiye eder.
Satıcının azaltma talimatlarını bulamayan kuruluşlar veya yeterli azaltmanın kullanılamadığını tespit eden kuruluşlar için CISA, telemessage TM SGNL ürününün tamamen kullanımını durdurmanın daha sert bir adımını önermektedir.
Bu öneri, güvenlik açıklarının ciddiyetinin ve organizasyonel güvenlik duruşu üzerindeki potansiyel etkinin altını çizmektedir.
22 Temmuz 2025, son başvuru tarihi, kuruluşların maruziyetlerini değerlendirmeleri, uygun güvenlik önlemleri uygulamaları ve bu kritik iyileştirme döneminde operasyonel sürekliliği korurken federal siber güvenlik direktiflerine uyum sağlamaları için dar bir pencere sağlar.