Los investigadores están viendo intentos de explotación de la vulnerabilidad CVE-2025-48927 en la aplicación TeleMessage SGNL, que permite recuperar nombres de usuario, contraseñas y otros datos confidenciales.
TeleMessage SGNL es una aplicación clon de Signal que ahora es propiedad de Smarsh, una empresa centrada en el cumplimiento que brinda soluciones de comunicación locales o basadas en la nube a varias organizaciones.
Escaneo de puntos finales vulnerables
La empresa de monitoreo de amenazas GreyNoise ha observado múltiples intentos de explotar CVE-2025-48927, probablemente por parte de diferentes actores de amenazas.
Hasta el 16 de Julio, GreyNoise ha observado 11 IP que intentan explotar CVE-2025-48927, informa GreyNoise.
El comportamiento de reconocimiento relacionado está en curso. Nuestra telemetría muestra un escaneo activo de endpoints de Spring Boot Actuator, un posible precursor para identificar sistemas afectados por CVE-2025-48927.
Según GreyNoise, más de dos mil IP han escaneado en busca de puntos finales de Sprint Boot Actuator durante los últimos meses, un poco más del 75% de ellas apuntando específicamente a los puntos finales '/health'.
La vulnerabilidad CVE-2025-48927 se debe a la exposición del punto final '/heapdump' desde Spring Boot Actuator sin autenticación. TeleMessage solucionó el problema, pero algunas instalaciones locales siguen siendo vulnerables.
Al utilizar configuraciones obsoletas de Spring Boot que no restringen el acceso a los puntos finales de diagnóstico, la falla permite que un atacante descargue un volcado de memoria de montón de Java completo de aproximadamente 150 MB, que puede contener nombres de usuario en texto simple, contraseñas, tokens y otros datos confidenciales.
Para defenderse de estos ataques, se recomienda deshabilitar o restringir el acceso al punto final /heapdump solo a rangos de IP confiables y limitar la exposición de todos los puntos finales de Actuator tanto como sea posible.
Archivar mensajes de Signal
La aplicación TeleMessage SGNL está diseñada para proporcionar comunicación cifrada con archivo integrado, de modo que todos los chats, llamadas y archivos adjuntos se almacenen automáticamente para fines de cumplimiento, auditoría o mantenimiento de registros.
Estas afirmaciones han sido refutadas por investigaciones anteriores que dicen que no se mantiene el cifrado de extremo a extremo y que los datos confidenciales, incluidos los mensajes, se almacenan en texto sin formato.
Esto se reveló en Mayo de 2025, cuando un hacker accedió a un endpoint de diagnóstico y descargó credenciales y contenido archivado. El incidente generó preocupación por la seguridad nacional en EE. UU. tras revelarse que el producto estaba siendo utilizado por la Oficina de Aduanas y Protección Fronteriza (CBP) y funcionarios, incluido Mike Waltz.
CVE-2025-48927 se divulgó en mayo y CISA lo agregó al catálogo de vulnerabilidades explotadas conocidas (KEV) el 1 de Julio, solicitando que todas las agencias federales apliquen mitigaciones antes del 22 de Julio.
La agencia también incluyó CVE-2025-48928, una falla en SGNL donde una aplicación JSP expone un volcado de memoria que contiene contraseñas enviadas a través de HTTP a usuarios no autorizados.
Un portavoz de Smarsh envió a BleepingComputer el siguiente comentario:
La vulnerabilidad CVE-2025-48927 se corrigió por completo en el entorno de TeleMessage a principios de Mayo. Dicha corrección fue verificada de forma independiente por nuestro socio externo de ciberseguridad. Como plataforma SaaS nativa de la nube, todas las correcciones se aplicaron de forma centralizada y los clientes no tuvieron que hacer nada. Por lo tanto, cualquier intento de explotar la vulnerabilidad CVE-2025-48927 desde entonces ha sido infructuoso.
Fuente: https://www.bleepingcomputer.com/news/security/hackers-scanning-for-telemessage-signal-clone-flaw-exposing-passwords/
Que te diviertas!
TeleMessage SGNL es una aplicación clon de Signal que ahora es propiedad de Smarsh, una empresa centrada en el cumplimiento que brinda soluciones de comunicación locales o basadas en la nube a varias organizaciones.
Escaneo de puntos finales vulnerables
La empresa de monitoreo de amenazas GreyNoise ha observado múltiples intentos de explotar CVE-2025-48927, probablemente por parte de diferentes actores de amenazas.
Hasta el 16 de Julio, GreyNoise ha observado 11 IP que intentan explotar CVE-2025-48927, informa GreyNoise.
El comportamiento de reconocimiento relacionado está en curso. Nuestra telemetría muestra un escaneo activo de endpoints de Spring Boot Actuator, un posible precursor para identificar sistemas afectados por CVE-2025-48927.
Según GreyNoise, más de dos mil IP han escaneado en busca de puntos finales de Sprint Boot Actuator durante los últimos meses, un poco más del 75% de ellas apuntando específicamente a los puntos finales '/health'.
La vulnerabilidad CVE-2025-48927 se debe a la exposición del punto final '/heapdump' desde Spring Boot Actuator sin autenticación. TeleMessage solucionó el problema, pero algunas instalaciones locales siguen siendo vulnerables.
Al utilizar configuraciones obsoletas de Spring Boot que no restringen el acceso a los puntos finales de diagnóstico, la falla permite que un atacante descargue un volcado de memoria de montón de Java completo de aproximadamente 150 MB, que puede contener nombres de usuario en texto simple, contraseñas, tokens y otros datos confidenciales.
Para defenderse de estos ataques, se recomienda deshabilitar o restringir el acceso al punto final /heapdump solo a rangos de IP confiables y limitar la exposición de todos los puntos finales de Actuator tanto como sea posible.
Archivar mensajes de Signal
La aplicación TeleMessage SGNL está diseñada para proporcionar comunicación cifrada con archivo integrado, de modo que todos los chats, llamadas y archivos adjuntos se almacenen automáticamente para fines de cumplimiento, auditoría o mantenimiento de registros.
Estas afirmaciones han sido refutadas por investigaciones anteriores que dicen que no se mantiene el cifrado de extremo a extremo y que los datos confidenciales, incluidos los mensajes, se almacenan en texto sin formato.
Esto se reveló en Mayo de 2025, cuando un hacker accedió a un endpoint de diagnóstico y descargó credenciales y contenido archivado. El incidente generó preocupación por la seguridad nacional en EE. UU. tras revelarse que el producto estaba siendo utilizado por la Oficina de Aduanas y Protección Fronteriza (CBP) y funcionarios, incluido Mike Waltz.
CVE-2025-48927 se divulgó en mayo y CISA lo agregó al catálogo de vulnerabilidades explotadas conocidas (KEV) el 1 de Julio, solicitando que todas las agencias federales apliquen mitigaciones antes del 22 de Julio.
La agencia también incluyó CVE-2025-48928, una falla en SGNL donde una aplicación JSP expone un volcado de memoria que contiene contraseñas enviadas a través de HTTP a usuarios no autorizados.
Un portavoz de Smarsh envió a BleepingComputer el siguiente comentario:
La vulnerabilidad CVE-2025-48927 se corrigió por completo en el entorno de TeleMessage a principios de Mayo. Dicha corrección fue verificada de forma independiente por nuestro socio externo de ciberseguridad. Como plataforma SaaS nativa de la nube, todas las correcciones se aplicaron de forma centralizada y los clientes no tuvieron que hacer nada. Por lo tanto, cualquier intento de explotar la vulnerabilidad CVE-2025-48927 desde entonces ha sido infructuoso.
Fuente: https://www.bleepingcomputer.com/news/security/hackers-scanning-for-telemessage-signal-clone-flaw-exposing-passwords/
Que te diviertas!
Entradas
No hay comentarios:
Publicar un comentario