U.S. CISA adds TeleMessage TM SGNL flaws to its Known Exploited Vulnerabilities catalog
2025/07/02 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、実環境での悪用が確認されたことを受け、2件の脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加した。1つ目は、TeleMessage TM SGNL における不適切なデフォルト・コンフィグの脆弱性であり、2つ目も、TeleMessage TM SGNL のコアダンプ・ファイルの露出の脆弱性である。
- CVE-2025-48927 (CVSS 5.3):TeleMessage TM SGNL における不適切なデフォルト設定によるリソース初期化の脆弱性。2025年5月5日まで提供されていた、Spring Boot Actuator のミスコンフィグ・バージョンにより、”/heapdump” エンドポイントが外部に露出していた。2025年5月に、実際の攻撃で悪用された。
- CVE-2025-48928 (CVSS 4.0):TeleMessage TM SGNL において、コアダンプ・ファイルが不正な制御領域に露出する脆弱性。2025年5月5日まで提供されていた TeleMessage サービスは、JSP アプリケーションを基盤とするため、HTTP 経由で送信されたパスワードが、ヒープ・コンテンツとしてコアダンプに取り込まれていた。2025年5月に、実環境での悪用が確認されている。
拘束力のある運用指令 BOD 22-01:米政府の FCEB 機関は、これらの脆弱性を悪用する攻撃からネットワークを保護するために、定められた期限までに対処する必要がある。CISA は連邦政府機関に対して、2025年7月22日までに、一連の脆弱性を修正するよう命じている。
専門家たちが民間組織にも推奨するのは、KEV カタログを確認し、インフラの脆弱性に対処することだ。
米国の CISA が、Smarsh の TeleMessage TM SGNL に関する2件の脆弱性を KEV カタログに登録しました。どちらの脆弱性も、実際に悪用が確認されたものありで、サーバ情報の漏洩やパスワードの露出につながるリスクがあると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、CISA KEV で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.