Una vulnerabilidad de seguridad crítica en TelemessagetM SGNL, un sistema de mensajería empresarial modelado después de la señal, ha sido explotada activamente por los ciberdelincuentes que buscan extraer credenciales de usuario confidenciales y datos personales.
El defecto, designado CVE-2025-48927, afecta a las agencias y empresas gubernamentales utilizando esta plataforma de comunicación segura para archivar mensajes confidenciales.
Control de llave
1. CVE-2025-48927 en Signal Clone Telemessagetm Sgnl expone contraseñas.
2. 11 IPS explotando la vulnerabilidad, 2,000+ escaneo para sistemas vulnerables en 90 días.
3. Desactivar /poner en finalización de montón, bloquear IP maliciosas, actualizar el arranque de resorte inmediatamente.
Descripción general de la falla del actuador de arranque de primavera
La vulnerabilidad proviene de las configuraciones de actuador de arranque de primavera de TelemessagetM, el uso continuo de configuraciones de actuador de arranque de primavera heredado, donde un punto final de diagnóstico /montón permanece accesible públicamente sin autenticación.
Este punto final puede devolver las instantáneas completas de la memoria del montón, aproximadamente 150 MB de tamaño, que potencialmente contiene nombres de usuario de texto sin formato, contraseñas y otros datos confidenciales.
Si bien las versiones más nuevas de Spring Boot han abordado esta preocupación de seguridad al deshabilitar el acceso público a tales puntos finales de forma predeterminada, las instancias de Telemessage continuaron utilizando la configuración vulnerable al menos el 5 de mayo de 2025.
La gravedad de este problema llevó a la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) a agregar CVE-2025-48927 a su conocido catálogo de vulnerabilidades explotadas (KEV) el 14 de julio.
Explotación activa de CVE-2025-48927
La investigación de Greynoise ha identificado una actividad maliciosa significativa dirigida a esta vulnerabilidad. A partir del 16 de julio, se han observado 11 direcciones IP que intentan explotar CVE-2025-48927.
La empresa de seguridad creó una etiqueta de seguimiento dedicada el 10 de julio para monitorear estos intentos de explotación.
Más preocupante es la actividad de reconocimiento más amplia que precede a estos ataques. La telemetría de Greynoise revela que 2.009 direcciones IP han escaneado para los puntos finales del actuador de arranque de primavera en los últimos 90 días.
De estos, 1.582 IPS específicamente puntos finales dirigidos /de salud, comúnmente utilizados por los atacantes para identificar las implementaciones de arranque de primavera expuestas a Internet vulnerables a la explotación.
El equipo de investigación ha lanzado una etiqueta dedicada para rastrear las actividades de escaneo: “Telemessagetm SGNL Spring Boot Actuator /Heapdump Divulch”.
Este enfoque sistemático para identificar sistemas vulnerables sugiere campañas cibercriminales organizadas en lugar de ataques oportunistas.
Factores de riesgo DetrailleSe el producto que se afecta a los nombres de uso de la usernación de texto de texto y datos confidenciales a través de los volcados de memoria de la memoria (~ 150 MB Snapshots) Explotan los valores de uso previo de Publicly Accessible /HeepDump Final
Las organizaciones que utilizan los marcos de arranque de Spring, particularmente aquellos que operan entornos de mensajería segura, deben verificar inmediatamente si sus puntos finales /montón están expuestos a Internet.
Greynoise recomienda bloquear las IP maliciosas utilizando sus alimentos de inteligencia de amenazas, específicamente dirigirse a las actividades del actuador de arranque de primavera y las actividades del escáner de salud del actuador de arranque de primavera.
Los pasos de remediación crítica incluyen deshabilitar o restringir el acceso al punto final /Heapdump, limitar la exposición de todos los puntos finales del actuador a menos que se requiera explícitamente, y actualizar a versiones compatibles de arranque de primavera con valores predeterminados seguros.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
