TeleMessage SGNL kihasználása
A GreyNoise biztonsági kutatói jelentették, hogy legalább 11 különálló IP-címről kísérelnek meg aktív kihasználást CVE‑2025‑48927-re, amely a signal-alapú TeleMessage SGNL rendszerekben található – amelyet kormányzati és vállalati üzenőplatformként használnak. A sebezhetőség lényege, hogy a régebbi Spring Boot Actuator konfigurációkban a /heapdump diagnosztikai végpontautentikáció nélkül elérhető maradt, így támadók teljes memória dumpot tölthetnek le (kb. 150 MB), amely gyakran tartalmaz sima szövegben felhasználóneveket, jelszavakat és más érzékeny adatokat.
A CISA július 14-én felvette ezt a hibát a Known Exploited Vulnerabilities (KEV) listájára, ami arra utal, hogy már tényleges kockázatként értékelik. Különösen aggasztó, hogy a GreyNoise által gyűjtött adatok szerint az elmúlt 90 napban 2 009 IP fészkelt Spring Boot Actuator végpontokat, közülük 1 582 a /health endpointokat célozta – ami tipikusan a sebzékeny rendszerek felderítésének előfutára.
A TeleMessage (TeleMessageTM SGNL) platformot kormányzati alkalmazásra, így például amerikai kabinettitkárok és szövetségi munkatársak számára is használták – ezért az érintett adatbázisok magas bizalmi szintű információkat is tartalmazhattak. A régi Spring Boot verziókban, egészen legalább 2025. május 5-ig, nem javították a konfigurációt, így a veszély fennállhat.
GreyNoise javasolja, hogy a szervezetek azonosítsák, hogy rendelkeznek-e internet elé nyitott /heapdump endpointtal, és tiltsák le vagy korlátozzák a hozzáférését. Emellett blokkolják a veszélyes IP-címeket a GreyNoise feedjeivel („SPRING BOOT ACTUATOR CRAWLER”, „HEALTH SCANNER”, „TELEMESSAGE /HEAPDUMP DISCLOSURE”) és frissítsék a Spring Boot-ot modern, biztonságos alapértelmezésekhez.
