Dolandırıcılık Yönetimi ve Siber Suç, Yönetişim ve Risk Yönetimi, Mobil Uygulama Güvenliği
Birden fazla ABD Devlet Ajansı, şimdi paylaşılan mesaj arşivleme uygulamasını kullandı
Mathew J. Schwartz (Euroinfosec) •
18 Temmuz 2025
Saldırganlar aktif olarak Sinyal Mesajı Uygulaması Klon Telemessage TM SGNL’nin eski sürümlerinde var olan bir güvenlik açığından yararlanmaya çalışıyor.
Ayrıca bakınız: İhlali önlemek: Bir hizmet tutucunun sonucu değiştirebileceği 5 senaryo
Tehdit istihbarat firması Greynoise’deki güvenlik araştırmacıları, Çarşamba günü, CVE-2025-48927 olarak izlenen, TM SGNL’nin bazı sürümlerinde herhangi bir kullanıcı etkileşimi olmadan izlenebilen “şiddetli” yanlış yapılandırma kırılganlığından ödün vermeye çalışan 11 farklı IP adresi gördükleri konusunda uyardı.
1999 yılında İsrail’de kurulan Telemessage, Şubat 2024’te Portland, Oregon merkezli Smarsh tarafından satın alındı. Düzenlenmiş endüstriler de dahil olmak üzere, çeşitli kanallar ve işletmeler tarafından, çeşitli kanallar ve uygulamalar arasında arşivleme, MMS, sesli çağrılar da dahil olmak üzere çeşitli kanallar ve işletmeler tarafından kullanılan bir işletme mesajı sistemi geliştirmektedir.
Şirketin TM SGNL’si, ABD kabine yetkilileri ve diğer federal çalışanlar tarafından rutin veya resmi iletişim için kullanılan bir sinyal klonudur.
ABD Ulusal Güvenlik Açığı veritabanının kusurla ilgili ayrıntıları, Smarsh’ın 5 Mayıs’tan beri TM SGNL’nin tüm sürümlerinde yamaladığını gösteriyor.
Yorum için ulaşılan Smarsh hemen daha fazla bilgi sağlayamadı.
Şimdi CVE-2025-48927 olarak izlenen kusur, 4 Medya’nın Hacker’ların bunu ABD gümrüklerine ve kullanıcıların akıllı telefonlarından sınır korumasına bağlı verileri elde etmek için kullandığını bildirdiği 4 Mayıs’ta ilk kez ortaya çıktı. Bu rapor telemessage’ın hizmeti geçici olarak askıya almasına yol açtı (bkz: Trump Danışmanı Fotoğraf Fallout’tan Sonra Telemessage kararıyor).
Güvenlik açığı, TM SGNL yazılımının Java uygulamaları oluşturmak için popüler bir çerçeve olan Spring Boot’ta şimdi eski bir teşhis özelliğini kullanmasına kadar izlendi. Kusur, bir uygulamanın sağlığı ve operasyonlarını gözlemlemek için tasarlanmış Spring Boot Actuator adlı çerçevenin bir bölümünde mevcuttur. Aktüatör, “bulut ortamlarının% 60’ından fazlasında bulunur, ancak yanlış yapılandırıldığında ciddi güvenlik risklerine yol açabilir”, hassas veriler ve kimlik bilgilerinin ortaya çıkması veya uzaktan kod yürütülmesini kolaylaştırmak da dahil olmak üzere Wiz’deki araştırmacılar, Aralık 2024 raporunda.
Spring Boot Actuator’da “Sürüm 1.5’e kadar (2017’de piyasaya sürülecek), The /heapdump Endpoint, varsayılan olarak kimlik doğrulaması olmadan kamuya açık ve erişilebilir olarak yapılandırıldı. ”
“O zamandan beri, daha sonraki sürümlerde, Spring Boot Actuator varsayılan yapılandırmasını yalnızca ortaya çıkarmak için değiştirdi. /health Ve /info Kimlik doğrulaması olmadan uç noktalar (bunlar saldırganlar için daha az ilginçtir) “dedi.
Ne zaman /heapdump Grinnoise, kimlik doğrulaması olmadan halka açık ve erişilebilir, sömürü “önemsiz” dedi. “Bir saldırgan sadece bir GET istemek /heapdump ve kullanıcı adları ve şifreler gibi hassas, düz metin verileri içeren büyük bir dosya (~ 150 megabayt) indirin. “
Kaç tane yazılım türünün hala savunmasız yay önyükleme aktüatör kodunu kullanabileceği ve ayrıca CVE-2025-48927 aracılığıyla uzaktan uzlaşmaya karşı savunmasız olabileceği açık değildir.
Geynoise, son 90 gün içinde, Spring Boot Actuator uç noktaları için tarama ve yaklaşık 1.500 hedefleme için 2.009 IP adresinin görüldüğünü söyledi. /health “İnternete maruz kalan yay önyükleme dağıtımlarını tespit etmek için yaygın olarak kullanılan” ve dolayısıyla “CVE-2025-48927’den etkilenen sistemleri tanımlamak için potansiyel bir öncü”. Araştırmacılar, 217’si hala eski kod kullanıyor olabileceği en az 334 internete maruz kalan IPS’yi yayınladıklarını söylediler.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı, CVE-2025-48927’nin yanı sıra 1 Temmuz’da bilinen sömürülen güvenlik açıkları kataloğuna CVE-2025-48927 ekledi, yazılımı kullanan tüm federal sivil ajanslar için 22 Temmuz’da, her ikisini de kullanan tüm federal ajanslar için kullanan tüm federal sivil ajanslar için, hem de mitig kullanımı uygularsa, uygulanıyorsa uygulanırsa, mevcut değil. “
“Orta” ciddiyet olarak derecelendirilen CVE-2025-48928 Kusur, yığın içeriğinin kabaca HTTP üzerinden gönderilen bir şifrenin Mayıs 2025’te vahşi doğada sömürüldüğü gibi bu çöplüğe dahil edileceği bir ‘çekirdek dökümüne’ eşdeğer olduğu başka bir yay çerçevesi kırılganlığına kadar izler. ” Geynoise, bu kusurun kendi başına uzaktan sömürülemeyeceğini söyledi.