Pesquisadores estão observando tentativas de exploração da vulnerabilidade
CVE-2025-48927
no aplicativo TeleMessage SGNL, que permite a recuperação de nomes de usuário, senhas e outros dados sensíveis.
TeleMessage SGNL é um aplicativo clone do Signal, agora de propriedade da Smarsh, uma empresa focada em conformidade que oferece soluções de comunicação baseadas na nuvem ou em instalações locais para várias organizações.
A empresa de monitoramento de ameaças GreyNoise observou múltiplas tentativas de explorar a
CVE-2025-48927
, provavelmente por diferentes atores de ameaças.
"Até 16 de julho, a GreyNoise observou 11 IPs tentando explorar a
CVE-2025-48927
", relata a GreyNoise.
"O comportamento de reconhecimento relacionado está em andamento.
Nossa telemetria mostra varreduras ativas por endpoints do Spring Boot Actuator, um precursor potencial para identificar sistemas afetados pela
CVE-2025-48927
."
Segundo a GreyNoise, mais de dois mil IPs escanearam por endpoints do Spring Boot Actuator nos últimos meses, pouco mais de 75% deles visando especificamente os endpoints '/health'.
A vulnerabilidade
CVE-2025-48927
é causada pela exposição do endpoint '/heapdump' do Spring Boot Actuator sem autenticação.
O TeleMessage abordou o problema, mas algumas instalações locais ainda estão vulneráveis.
Ao utilizar configurações desatualizadas do Spring Boot que não restringem o acesso aos endpoints de diagnóstico, a falha permite que um atacante baixe um dump completo da memória heap do Java de aproximadamente 150MB, que pode conter nomes de usuários, senhas, tokens e outros dados sensíveis em texto puro.
Para se defender contra esses ataques, recomenda-se desabilitar ou restringir o acesso ao endpoint /heapdump apenas para faixas de IPs confiáveis e limitar a exposição de todos os endpoints do Actuator tanto quanto possível.
O aplicativo TeleMessage SGNL é projetado para fornecer comunicação criptografada com arquivamento integrado, de modo que todos os chats, chamadas e anexos sejam automaticamente armazenados para conformidade, auditoria ou manutenção de registros.
Essas afirmações foram contestadas por pesquisas anteriores dizendo que a criptografia de ponta a ponta não é mantida e dados sensíveis, incluindo mensagens, são armazenados em texto puro.
Isso foi exposto em maio de 2025, quando um hacker acessou um endpoint de diagnóstico e baixou credenciais e conteúdo arquivado.
O evento desencadeou preocupações sobre a segurança nacional nos EUA, após revelações de que o produto estava sendo usado pela Alfândega e Proteção de Fronteiras e oficiais, incluindo Mike Waltz.
A
CVE-2025-48927
foi divulgada em maio e a CISA a adicionou ao catálogo de Vulnerabilidades Conhecidas Exploradas (KEV) em 1º de julho, solicitando que todas as agências federais apliquem mitigação até 22 de julho.
A agência também listou a
CVE-2025-48928
, uma falha no SGNL onde um aplicativo JSP expõe um dump de memória contendo senhas enviadas via HTTP para usuários não autorizados.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...