Signal App Clone Telemessage App Vulnerability Actively Exploited for Password Theft
2025/07/18 gbhackers — TeleMessageTM SGNL に存在する重大な脆弱性が、脅威アクターにより積極的に悪用され、政府機関や企業からパスワード/機密データが盗み出されるというインシデントが発生している。この脆弱性 CVE-2025-48927 は、2025年7月14日の時点で、米国 の CISA KEV カタログに追加されているため、広範にわたる悪用の試行が示唆される。
脆弱性の詳細
政府機関や企業が、暗号化されたメッセージを保持するために使用する、安全な通信アーカイブ・システム TeleMessageTM SGNL の特定の導入形態に対して、この脆弱性 CVE-2025-48927 は影響を及ぼす。
| Field | Details |
| CVE ID | CVE-2025-48927 |
| CVSS Score | Not yet assigned |
| Affected Product | TeleMessageTM SGNL |
| Vulnerability Type | Information Disclosure |
Spring Boot Actuator における、診断のための “/heapdump” エンドポイントが、認証を必要としない公開アクセスを提供するレガシー・コンフィグに、この脆弱性は起因する。つまり、この問題が、TeleMessageTM プラットフォームに影響する場合に、脆弱性 CVE-2025-48927 が発生する。
このエンドポイントが悪用されると、平文ユーザー名/パスワードなどを含む、機密性の高い情報のヒープ・メモリ・スナップショット (約150MB) が、返される可能性があるという。
Spring Boot の最新バージョンでは、この種のエンドポイントをデフォルトで保護することで問題に対処している。ただし、公開されているレポートによると、遅くとも 2025年5月5日までは、TeleMessage のインスタンスはミスコンフィグの状態で運用されていたという。
この脆弱性を標的とする、進行中のエクスプロイト・キャンペーンを、GreyNoise のセキュリティ研究者たちが観測している。
攻撃の拡大とスキャン活動
2025年7月16日の時点において、CVE-2025-48927 の悪用を試行する 11件の IP アドレスが確認されており、関連する偵察活動は拡大を続けている。脅威アクターたちは、脆弱なシステムを特定するために、体系的なスキャン活動を実施しているようだ。
GreyNoise のテレメトリによると、過去の 90 日間で 2,009件の IP アドレスが、Spring Boot Actuator エンドポイントをスキャンしている。そのうちの 1,582件は、インターネットに公開されている Spring Boot デプロイメントの検出に用いられる、/health エンドポイントを標的としていた。
推奨される対応策
Spring Boot アプリケーションを使用する組織にとって、特にセキュアなメッセージング・ツールや社内コミュニケーション・ツールを実装している組織にとって必要なことは、”/heapdump” エンドポイントのインターネット公開について、速やかに確認することである。
セキュリティ・チームは、以下の対応を講じるべきである:
- /heapdump エンドポイントへのアクセスの無効化/制限
- 必要な場合を除き、全 Actuator エンドポイントの公開を制限
- セキュアなデフォルト・コンフィグを備えた、最新の Spring Boot バージョンへのアップグレード
この脆弱性に関連するスキャン活動を追跡するために、GreyNoise は専用タグを作成し、悪用パターンの変化を継続的に監視している。
さらに同社は、この種の偵察/攻撃を試行する新たな脅威に対する、ユーザー組織の迅速な対応をサポートするための、強化された動的 IP ブロックリストの開発も進めている。
TeleMessage SGNL に存在する脆弱性 CVE-2025-48927 が実際に、悪用されている状況が解説されています。”/heapdump” エンドポイントから重要情報が漏れるという問題であり、ミスコンフィグから深刻な事態につながると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、CVE-2025-48927 で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.