Sinyalten sonra modellenen bir kurumsal mesajlaşma sistemi olan Telemessagetm SGNL’de kritik bir güvenlik açığı, hassas kullanıcı kimlik bilgilerini ve kişisel verileri elde etmek isteyen siber suçlular tarafından aktif olarak sömürülmüştür.
CVE-2025-48927 olarak adlandırılan kusur, gizli mesajları arşivlemek için bu güvenli iletişim platformunu kullanarak devlet kurumlarını ve işletmeleri etkiler.
Key Takeaways
1. CVE-2025-48927 in Signal clone TeleMessageTM SGNL exposes passwords.
2. 11 IPs exploiting the vulnerability, 2,000+ scanning for vulnerable systems in 90 days.
3. Disable /heapdump endpoint, block malicious IPs, upgrade Spring Boot immediately.
Spring Boot Aktüatör Kusuruna Genel Bakış
Güvenlik açığı, Telemessagetm SGNL’nin bir teşhis /yığın uç noktasının kimlik doğrulaması olmadan kamuya açık bir şekilde erişilebilir kaldığı eski Spring Boot Actuator konfigürasyonlarını kullanmaya devam etmektedir.
Bu uç nokta, potansiyel olarak düz metin kullanıcı adları, şifreler ve diğer hassas verileri içeren yaklaşık 150 MB boyutunda, yığın belleğinin tam anlık görüntülerini döndürebilir.
Spring Boot’un daha yeni sürümleri, varsayılan olarak bu tür uç noktalara halkın erişimini devre dışı bırakarak bu güvenlik endişesini ele alırken, telemessage örnekleri en az 5 Mayıs 2025’e kadar savunmasız yapılandırmayı kullanmaya devam etti.
Bu sorunun şiddeti, Siber Güvenlik ve Altyapı Güvenlik Ajansı’nı (CISA) 14 Temmuz’da bilinen sömürülen güvenlik açıkları (KEV) kataloğuna CVE-2025-48927 eklemeye teşvik etti.
CVE-2025-48927’nin aktif sömürüsü
Grinnoise araştırması, bu güvenlik açığını hedefleyen önemli kötü niyetli aktivite tespit etmiştir. 16 Temmuz itibariyle 11 IP adresinin CVE-2025-48927’den yararlanmaya çalıştığı gözlemlenmiştir.
Güvenlik firması, bu sömürü girişimlerini izlemek için 10 Temmuz’da özel bir izleme etiketi oluşturdu.
Daha da önemlisi, bu saldırılardan önceki daha geniş keşif faaliyeti. Grinnoise telemetrisi, son 90 gün içinde yay çizme aktüatör uç noktaları için 2.009 IP adresinin tarandığını ortaya koyuyor.
Bunlardan 1.582 IPS, saldırganlar tarafından sömürüye karşı savunmasız olan internete maruz kalan yay çizme dağıtımlarını tanımlamak için yaygın olarak kullanılan hedefli /sağlık uç noktaları.
Araştırma ekibi, tarama etkinliklerini izlemek için özel bir etiket başlattı: “Telemessagetm SGNL Spring Boot Actuator /Heapdump ifşası”.
Savunmasız sistemlerin tanımlanmasına yönelik bu sistematik yaklaşım, fırsatçı saldırılardan ziyade organize siber suçlu kampanyalar önermektedir.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | Telemessagetm SGNL (Sinyal Klonu Kurumsal Mesajlaşma Sistemi) |
| Darbe | Yığın bellek dökümleri yoluyla düz metin kullanıcı adlarının, şifrelerin ve hassas verilerin maruz kalması (~ 150MB anlık görüntüler) |
| Önkoşuldan istismar | Eski Spring Boot Aktüatör Yapılandırmalarında Kimlik Doğrulama Olmadan Kamu Erişilebilir /Yetkili Uç Noktası |
| CVSS 3.1 puanı | 5.3 (Orta) |
Spring Boot çerçevelerini, özellikle de güvenli mesajlaşma ortamlarını kullanan kuruluşlar, /yığın uç noktalarının internete maruz kalıp kalmadığını hemen doğrulamalıdır.
Greynoise, özellikle Spring Boot Actuator Pwler ve Spring Boot Actuator sağlık tarayıcı faaliyetlerini hedefleyen tehdit istihbarat yemlerini kullanarak kötü niyetli IP’lerin engellenmesini önerir.
Kritik iyileştirme adımları, /toplama uç noktasına erişimin devre dışı bırakılması veya kısıtlanması, açıkça gerekmedikçe tüm aktüatör uç noktalarının maruz kalmasını sınırlamak ve güvenli varsayılanlar ile desteklenen yay önyükleme sürümlerine yükseltmeyi içerir.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi birini deneyin. Şimdi