Araştırmacılar, Telemessage SGNL uygulamasında CVE-2025-48927 güvenlik açığı için kullanıcı adlarının, şifrelerin ve diğer hassas verilerin alınmasına izin veren sömürü girişimleri görüyorlar.
Telemessage SGNL, çeşitli kuruluşlara bulut tabanlı veya proje içi iletişim çözümleri sunan uyumluluk odaklı bir şirket olan Smarsh’a ait bir sinyal klonu uygulamasıdır.
Savunmasız uç noktalar için tarama
Tehdit izleme firması Greynoise, muhtemelen farklı tehdit aktörleri tarafından CVE-2025-48927’den yararlanmak için birden fazla girişim gözlemlemiştir.
Geynoise, “16 Temmuz itibariyle Greynoise, CVE-2025-48927’den yararlanmaya çalışan 11 IP’yi gözlemledi” diyor.
“İlgili keşif davranışı devam etmektedir. Telemetremiz, CVE-2025-48927’den etkilenen sistemleri tanımlamanın potansiyel bir öncüsü olan Spring Boot Actuator uç noktaları için aktif tarama gösteriyor.”
Geynoise’e göre, son aylarda iki binden fazla IP, sprint önyükleme aktüatör uç noktaları için tarandı, bunların% 75’inden biraz fazlası ‘/sağlık’ uç noktalarını hedefliyor.
CVE-2025-48927 güvenlik açığı, kimlik doğrulaması olmadan yay çizme aktüatöründen ‘/yığın’ uç noktasının ortaya çıkmasından kaynaklanır. Telemessage konuyu ele aldı, ancak bazı şirket içi kurulumlar hala savunmasız.
Teşhis uç noktalarına erişimi kısıtlamayan eski yay önyükleme yapılandırmalarını kullanırken, kusur bir saldırganın düz metin kullanıcı adları, şifreler, jetonlar ve diğer hassas veriler içerebilen yaklaşık 150MB’lik tam bir Java Yığın Bellek Dökümü indirmesine izin verir.
Bu saldırılara karşı savunmak için, yalnızca güvenilir IP aralıkları için /toplama uç noktasına erişimi devre dışı bırakılması veya kısıtlaması ve tüm aktüatör uç noktalarının maruz kalmasını mümkün olduğunca sınırlandırmanız önerilir.
Sinyal mesajlarını arşivleme
Telemessage SGNL uygulaması, yerleşik arşivle şifreli iletişim sağlamak için tasarlanmıştır, böylece tüm sohbetler, çağrılar ve ekler otomatik olarak uyumluluk, denetim veya kayıt tutma için saklanır.
Bu iddialar, uçtan uca şifrelemenin korunmadığını ve mesajlar da dahil olmak üzere hassas verilerin düz metin halinde saklandığını belirten geçmiş araştırmalarla tartışılmıştır.
Bu, bir bilgisayar korsanının teşhis uç noktasına eriştiği ve kimlik bilgileri ve arşivlenmiş içerik indirdiği Mayıs 2025’te ortaya çıktı. Etkinlik, ürünün Gümrük ve Sınır Koruması ve Mike Waltz da dahil olmak üzere yetkililer tarafından kullanıldığına dair vahiylerden sonra ABD’deki ulusal güvenlik ile ilgili endişeleri tetikledi.
CVE-2025-48927 Mayıs ayında açıklandı ve CISA, 1 Temmuz’da bilinen sömürülen güvenlik açıkları (KEV) kataloğuna ekledi ve tüm federal kurumların 22 Temmuz’a kadar hafifletme uygulamasını talep etti.
Ajans ayrıca, bir JSP uygulamasının, yetkisiz kullanıcılara HTTP üzerinden gönderilen parolaları içeren bir bellek dökümü maruz bıraktığı SGNL’de bir kusur olan CVE-2025-48928 listelendi.
İşinizi etkilemeden önce gerçek zamanlı olarak ortaya çıkan tehditleri içerir.
Bulut algılama ve yanıtının (CDR) güvenlik ekiplerine bu pratik, saçma rehberde ihtiyaç duydukları avantajı nasıl verdiğini öğrenin.