فعالیت هکرها برای شناسایی آسیبپذیری رمز عبور در پلتفرم TeleMessage
تلاش هکرها برای بهرهبرداری از آسیبپذیری CVE-2025-48927 در اپلیکیشن TeleMessage SGNL
پژوهشگران گزارش دادهاند که تلاشهایی برای بهرهبرداری از آسیبپذیری CVE-2025-48927 در اپلیکیشن TeleMessage SGNL در حال انجام است. این آسیبپذیری امکان بازیابی نامهای کاربری، گذرواژهها و سایر دادههای حساس را فراهم میکند.
TeleMessage SGNL یک اپلیکیشن کلونشده از Signal است که اکنون تحت مالکیت شرکت Smarsh قرار دارد؛ شرکتی که بر ارائهی راهکارهای ارتباطی مبتنی بر فضای ابری یا محلی (on-premises) با تمرکز بر رعایت الزامات تطبیقپذیری (compliance) برای سازمانهای مختلف فعالیت میکند.
اسکن نقاط انتهایی آسیبپذیر
شرکت امنیتی GreyNoise اعلام کرده که فعالیتهای متعددی برای بهرهبرداری از آسیبپذیری CVE-2025-48927 توسط بازیگران تهدید مختلف رصد شده است.
«از تاریخ ۱۶ ژوئیه، GreyNoise تعداد ۱۱ آدرس IP را شناسایی کرده که در حال تلاش برای بهرهبرداری از آسیبپذیری CVE-2025-48927 هستند.»
بهگفتهی GreyNoise، رفتارهای شناسایی و شناسایی مقدماتی (reconnaissance) همچنان ادامه دارد. تلهمتری این شرکت نشان میدهد که اسکن فعال برای نقاط انتهایی Spring Boot Actuator، که میتواند مقدمهای برای شناسایی سامانههای آسیبپذیر باشد، در جریان است.
در چند ماه گذشته، بیش از دو هزار آدرس IP اقدام به اسکن نقاط انتهایی مربوط به Spring Boot Actuator کردهاند و بیش از ۷۵٪ آنها بهطور خاص هدف مسیر /health بوده است.
جزئیات آسیبپذیری CVE-2025-48927
این آسیبپذیری ناشی از افشای نقطهی انتهایی /heapdump در Spring Boot Actuator بدون نیاز به احراز هویت است. شرکت TeleMessage این مشکل را برطرف کرده، اما برخی از نسخههای نصبشدهی محلی (on-premises) همچنان در معرض خطر قرار دارند.
در صورت استفاده از پیکربندیهای قدیمی Spring Boot که دسترسی به نقاط تشخیصی را محدود نمیکنند، مهاجم میتواند یک heap memory dump کامل از حافظه جاوا، به حجم تقریبی ۱۵۰ مگابایت، دانلود کند که ممکن است حاوی نامهای کاربری، گذرواژهها، توکنها و سایر اطلاعات حساس بهصورت متنی (plaintext) باشد.
اقدامات دفاعی پیشنهادی
برای محافظت در برابر این حملات، توصیه میشود که دسترسی به نقطهی /heapdump محدود یا فقط به IPهای قابل اعتماد مجاز شود. همچنین، باید تا حد امکان از در معرض قرار گرفتن همه نقاط انتهایی Actuator جلوگیری شود.
بایگانی پیامهای Signal
اپلیکیشن TeleMessage SGNL با هدف ارائهی ارتباط رمزنگاریشده به همراه قابلیت بایگانی داخلی طراحی شده است، بهطوریکه تمامی چتها، تماسها و فایلهای ضمیمه بهصورت خودکار ذخیره میشوند تا الزامات تطبیقپذیری، حسابرسی و نگهداری سوابق رعایت شود.
با این حال، تحقیقات پیشین نشان دادهاند که رمزنگاری سرتاسری (end-to-end encryption) در این اپلیکیشن حفظ نمیشود و دادههای حساس از جمله پیامها بهصورت متنی ذخیره میشوند.
در ماه مه ۲۰۲۵، این موضوع زمانی آشکار شد که یک هکر با دسترسی به یک نقطهی تشخیصی، موفق به دانلود اطلاعات کاربری و محتوای بایگانیشده شد. این حادثه باعث نگرانیهایی در حوزهی امنیت ملی ایالات متحده شد، بهویژه پس از فاش شدن استفاده از این محصول توسط Customs & Border Protection و برخی مقامات رسمی از جمله Mike Waltz.
واکنش رسمی و اقدامات امنیتی
آسیبپذیری CVE-2025-48927 در ماه مه افشا شد و توسط CISA در تاریخ ۱ ژوئیه به فهرست آسیبپذیریهای مورد بهرهبرداری شناختهشده (Known Exploited Vulnerabilities – KEV) اضافه شد. این سازمان از تمامی آژانسهای فدرال خواسته است که تا تاریخ ۲۲ ژوئیه اقدامات لازم برای کاهش خطر را اعمال کنند.
CISA همچنین آسیبپذیری دیگری با شناسه CVE-2025-48928 را فهرست کرده که در آن یک اپلیکیشن JSP در SGNL، دامپ حافظهای را که شامل گذرواژههای ارسالشده از طریق HTTP است، بدون محدودیت در اختیار کاربران غیرمجاز قرار میدهد.
[بهروزرسانی ۱۹ ژوئیه، ساعت ۰۳:۴۵ به وقت EST] – سخنگوی شرکت Smarsh در بیانیهای به وبسایت BleepingComputer اعلام کرد:
«آسیبپذیری CVE-2025-48927 در اوایل ماه مه بهطور کامل در محیط TeleMessage برطرف شد. این اصلاحات توسط شریک امنیتی مستقل ما نیز تأیید شدهاند. بهدلیل ماهیت پلتفرم SaaS مبتنی بر ابر، تمامی اصلاحات بهصورت متمرکز اعمال شدند و نیازی به اقدام توسط مشتریان نبود. بنابراین، تمامی تلاشها برای بهرهبرداری از CVE-2025-48927 از آن زمان تاکنون ناموفق بودهاند.» — سخنگوی Smarsh
