Отчет: Хакеры продолжают разведку уязвимости приложения TeleMessage

Хакеры продолжают использовать уязвимость TeleMessage

По состоянию на среду, по меньшей мере одиннадцать IP-адресов активно пытались использовать уязвимость, и еще тысячи адресов, возможно, проводили разведку.

Хакеры продолжают искать возможности для использования печально известной уязвимости CVE-2025-48927 в TeleMessage, говорится в новом отчете компании GreyNoise, занимающейся анализом угроз.

Тег GreyNoise, который отслеживает попытки воспользоваться уязвимостью, обнаружил 11 IP-адресов, которые пытались использовать уязвимость с апреля.

Другие IP-адреса, возможно, проводят разведку: 2 009 IP-адресов искали конечные точки Spring Boot Actuator за последние 90 дней, и 1 582 IP-адреса специально нацелились на конечные точки /health, которые обычно обнаруживают развертывания Spring Boot Actuator.

Дефект позволяет хакерам извлекать данные из уязвимых систем. Проблема «связана с тем, что платформа продолжает использовать устаревшее подтверждение в Spring Boot Actuator, где диагностическая конечная точка /heapdump находится в открытом доступе без аутентификации», - сообщили Cointelegraph в исследовательской группе.

TeleMessage похож на приложение Signal, но позволяет архивировать чаты в целях соблюдения нормативных требований. Основанная в Израиле, компания была приобретена американской компанией Smarsh в 2024 году, а затем временно приостановила работу после майского взлома системы безопасности, в результате которого из приложения были похищены файлы.

«TeleMessage заявила, что уязвимость была исправлена на их стороне», - сказал Хауди Фишер, член команды GreyNoise. «Однако сроки выпуска патчей могут меняться в зависимости от множества факторов».

Хотя слабые места в безопасности приложений встречаются чаще, чем хотелось бы, уязвимость TeleMessage может быть существенной для его пользователей: правительственных организаций и предприятий. Среди пользователей приложения могут быть бывшие правительственные чиновники США, такие как Майк Уолтц, Таможенная и пограничная служба США и криптовалютная биржа Coinbase.

Рекомендации GreyNoise

GreyNoise рекомендует пользователям блокировать вредоносные IP-адреса и отключить или ограничить доступ к конечной точке /heapdump. Кроме того, можно ограничить доступ к конечным точкам Actuator, говорится в сообщении.

Рост киберпреступности

В последнем отчете Chainalysis о преступности отмечается, что в 2025 году было украдено более 2,17 миллиарда долларов, и этот темп выведет кражи, связанные с криптовалютами, на новый уровень. Среди заметных атак на безопасность за последние месяцы - физические «атаки ключом» на держателей биткоинов и такие громкие инциденты, как февральский взлом криптовалютной биржи Bybit.

Попытки украсть учетные данные часто связаны с фишинговыми атаками, вредоносными программами и социальной инженерией.