ABD devlet kurumları ve düzenlenmiş işletmeler tarafından kullanılan sinyal uygulamasının İsrail’de yapılmış bir klonu olan Telemessage SGNL, hassas dahili verileri internete maruz bırakan, giriş gerekmez.
Sorunun ana nedeni, telemessage SGNL’nin bazı dağıtımlarının Java tabanlı bir çerçeve olan Spring Boot’un eski sürümlerini nasıl kullandığıdır. Bu sürümler, /heapdump varsayılan olarak maruz bırakılır.
Kilitlenmediğinde, bu uç nokta, yaklaşık 150MB ağırlığında olan uygulamanın tam bir bellek anlık görüntüsünü döndürür. Bu dökümler kullanıcı adları, şifreler, oturum ayrıntıları ve asla herkese açık olmaması gereken diğer veriler içerebilir.
Bu sömürüyü tanımlayan ve ayrıntılarını Hackread.com ile bugün daha önce paylaşan siber güvenlik araştırmacılarına göre, daha yeni bahar boot sürümlerinin varsayılan olarak devre dışı bırakılmasına rağmen, telemessage örneklerinin hala güvensiz yapılandırmayı 5 Mayıs 2025’e kadar çalıştırdığını söylüyor.
CVE-2025-48927 olarak izlenen güvenlik açığı, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’na (CISA) bilinen sömürülen güvenlik açıkları (KEV) kataloğuna eklendi ve bu da gerçek dünya saldırılarının devam ettiğini gösteriyor.
Geynoise’e göre, saldırganlar zaman kaybetmedi. 16 Temmuz itibariyle en az 11 IPS, kusurdan doğrudan yararlanmaya çalışıldı. Bunlar rastgele pingler değil; Yığın belleğini açık telemessage SGNL dağıtımlarından almak için özel girişimlerdir.
Tarama burada bitmiyor. Son 90 gün içinde, 2.000’den fazla IP genel olarak Spring Boot Actuator uç noktalarını araştırdı. 1.500’den fazla IPS hedefledi. /health Saldırganlar tarafından genellikle bir uygulamanın Spring Boot üzerine oluşturulup oluşturulmadığını ve potansiyel olarak yanlış yapılandırılmış olup olmadığını kontrol etmek için kullanılır. Bu tür tarama genellikle daha hedefli sömürünün izleyebileceğinin bir işaretidir.
Greynoise, bu etkinlik için özel bir izleme etiketi oluşturdu. Etiket, savunmasız olanla çalışan telemessage SGNL örneklerine özgü tarama davranışını tanımlar /heapdump uç nokta maruz kaldı.
Telemessage SGNL ve Siber Güvenlik Sorunları
Güvenlik kusurları herhangi bir platformda ortaya çıkabilir, ancak telemessage ile ilgili sorun daha ciddidir. Bu, devlet kurumları ve kurumsal kuruluşlar tarafından kullanılan hassas iletişimi korumak için inşa edilmiş bir hizmettir, ancak modası geçmiş kurulum seçimleri nedeniyle açık bırakılmıştır.
Güvenli iletişim satan bir platform söz konusu olduğunda, bu tür yanlış yapılandırmalar sadece sistemlerden daha fazla zarar verebilir. Ancak, itibar hasarı telemessage’da yeni değil. Mayıs 2025’te, anonim bir hacker sistemlerine girdikten sonra platform büyük bir ihlal geçirdi. Saldırgan, arka uç altyapısına ve özel kullanıcı mesajlarına erişti ve şirketi web sitesini çevrimdışı almaya zorladı.
Sadece günler sonra, 13 Mayıs’ta CISA, bu ihlalin arkasındaki güvenlik açığı olan CVE-2025-47729’u bilinen sömürülen güvenlik açıkları (KEV) listesine ekledi. Sonra işler daha da kötüleşti. Sızan veri kümelerini yayınlamakla bilinen kar amacı gütmeyen bir kuruluş olan Sırların Dağıtılmış Reddi (DDOSECRETS), tüm çalınan veri kümesini web sitesinde arşivledi ve dizine ekledi. Bu arşiv, ihlalden alınan 410 gigabayt hassas veri içeriyordu.
CISA’nın Bağlayıcı Operasyonel Direktifi
CISA, bağlayıcı operasyonel direktifi uyarınca, tüm federal kurumlara 22 Temmuz 2025 yılına kadar mevcut yamaları uygulamalarını veya etkilenen yazılımı kullanmayı bırakmasını sağladı. Direktif yalnızca Federal Sistemler için geçerli olsa da, telemessage SGNL kullanan herhangi bir kuruluş için hızlı hareket etmek için güçlü bir hatırlatmadır.
Onaylanan yamalar uygulanana kadar, daha güvenli yaklaşım, hassas iletişimi işleyen ortamlarda uygulamayı erişimi kısıtlamak veya geçici olarak devre dışı bırakmaktır. Bununla birlikte, araştırmacılar, iç hizmetler için telemessage veya Spring Boot kullanan kuruluşları bunu ciddiye almaya çağırıyorlar ve:
- Tüm aktüatör uç nokta maruziyetini gözden geçirin
- Erişimi devre dışı bırakın veya kısıtlamak
/heapdumpHemen uç nokta
- Greynoise tarafından işaretlenmiş Blok IPS Bu güvenlik açığı için araştırılan
- Daha güvenli varsayılan yapılandırmalar kullanan Spring Boot’un desteklenen bir sürümüne yükseltin