研究者たちは、TeleMessage SGNLアプリのCVE-2025-48927脆弱性を悪用しようとする試みを確認しています。この脆弱性により、ユーザー名、パスワード、その他の機密データが取得される可能性があります。
TeleMessage SGNLは、現在Smarsh社が所有するSignalのクローンアプリであり、同社はクラウドベースまたはオンプレミスのコミュニケーションソリューションを様々な組織に提供するコンプライアンス重視の企業です。
脆弱なエンドポイントのスキャン
脅威監視会社GreyNoiseは、CVE-2025-48927を悪用しようとする複数の試みを観測しており、これは異なる脅威アクターによるものと見られています。
「7月16日時点で、GreyNoiseはCVE-2025-48927を悪用しようとする11のIPアドレスを観測しています」とGreyNoiseは報告しています。
「関連する偵察行動は継続中です。当社のテレメトリでは、Spring Boot Actuatorエンドポイントへの積極的なスキャンが確認されており、これはCVE-2025-48927の影響を受けるシステムを特定する前兆である可能性があります。」
GreyNoiseによると、過去数か月間で2,000以上のIPアドレスがSpring Boot Actuatorエンドポイントをスキャンしており、そのうち75%以上が特に「/health」エンドポイントを標的にしています。
CVE-2025-48927脆弱性は、Spring Boot Actuatorの「/heapdump」エンドポイントが認証なしで公開されていることが原因です。TeleMessageはこの問題に対応しましたが、一部のオンプレミス環境では依然として脆弱なままです。
診断エンドポイントへのアクセス制限がない古いSpring Boot構成を使用している場合、この脆弱性により攻撃者は約150MBのJavaヒープメモリダンプ全体をダウンロードでき、そこには平文のユーザー名、パスワード、トークン、その他の機密データが含まれている可能性があります。
これらの攻撃から防御するためには、/heapdumpエンドポイントへのアクセスを信頼できるIP範囲のみに制限または無効化し、すべてのActuatorエンドポイントの公開範囲を可能な限り限定することが推奨されます。
Signalメッセージのアーカイブ
TeleMessage SGNLアプリは、組み込みのアーカイブ機能による暗号化通信を提供するよう設計されており、すべてのチャット、通話、添付ファイルがコンプライアンス、監査、記録保存のために自動的に保存されます。
しかし、過去の調査ではエンドツーエンド暗号化が維持されておらず、メッセージを含む機密データが平文で保存されていると指摘されています。
これは2025年5月に明らかになりました。ハッカーが診断エンドポイントにアクセスし、認証情報やアーカイブされたコンテンツをダウンロードしたのです。この出来事は、米国税関・国境警備局やマイク・ウォルツ氏を含む政府関係者がこの製品を使用していたことが判明し、米国の国家安全保障への懸念を引き起こしました。
CVE-2025-48927は5月に公開され、CISAは7月1日に既知の悪用済み脆弱性(KEV)カタログに追加し、すべての連邦機関に対して7月22日までに緩和策を適用するよう要請しました。
また、CISAはCVE-2025-48928もリストに挙げており、これはSGNLのJSPアプリがHTTP経由で送信されたパスワードを含むメモリダンプを認可されていないユーザーに公開する脆弱性です。
CISOが実際に使うボードレポートデッキ
CISOは、取締役会の賛同を得るには、クラウドセキュリティがどのようにビジネス価値を生み出すかを明確かつ戦略的に示すことが重要だと知っています。
この無料で編集可能なボードレポートデッキは、セキュリティリーダーがリスク、影響、優先事項をビジネスの観点から明確に提示するのに役立ちます。セキュリティアップデートを意味のある会話や迅速な意思決定へと変えましょう。