黑客正在利用TeleMessage SGNL的一个新漏洞，该漏洞可能导致敏感数据泄露。CISA警告各机构在7月22日前修复该漏洞或停止使用该漏洞。

TeleMessage SGNL是美国政府机构和受监管企业使用的Signal应用程序的以色列克隆版，经发现，该程序运行配置过时，会将敏感的内部数据暴露给互联网，且无需登录。

问题的主要原因是，TeleMessage SGNL的某些部署使用了旧版本的Spring Boot（一个基于Java的框架）。这些版本/heapdump默认保留了一个名为“exposed”的诊断端点。

当未锁定时，此端点会返回应用程序的完整内存快照，大小约为150MB。这些转储可能包含用户名、密码、会话详细信息以及其他不应公开的数据。

GrayNoise的网络安全研究人员发现了这一漏洞，并于今天早些时候分享了其详细信息。他们表示，尽管较新的Spring Boot版本默认禁用此功能，但TeleMessage实例直到2025年5月5日仍在运行不安全的配置。

该漏洞编号为CVE-2025-48927，于7月14日被添加到美国网络安全和基础设施安全局(CISA)已知被利用漏洞(KEV)目录中，这也表明现实世界的攻击已经在进行中。

据GreyNoise称，攻击者没有浪费任何时间。截至7月16日，至少有11个IP地址被记录下来，试图直接利用该漏洞。这些并非随机ping，而是旨在从暴露的TeleMessage SGNL部署中检索堆内存的特定尝试。

扫描远不止于此。在过去90天里，超过2000个IP探测过Spring Boot Actuator端点。超过1500个IP瞄准了该/health端点，攻击者通常用它来检查应用程序是否基于Spring Boot构建，以及是否可能存在配置错误。这种扫描通常预示着接下来可能会有更多针对性的攻击。

GreyNoise已为此次活动创建了专用的跟踪标签。该标签可识别在存在漏洞的端点暴露的情况下运行的TeleMessage SGNL实例特有的扫描行为/heapdump。

任何平台都可能存在安全漏洞，但TeleMessage的问题更为严重。这项服务旨在保护敏感通信，服务对象包括政府机构和企业组织，但由于设置选项过时，该漏洞依然存在。

对于一个销售安全通信的平台来说，这类配置错误带来的损害远不止系统本身。然而，TeleMessage的声誉受损并非新鲜事。早在2025年5月，一名匿名黑客入侵了该平台的系统，导致其遭受大规模入侵。攻击者访问了后端基础设施和用户私人消息，迫使该公司下线了其网站。

几天后，即5月13日，CISA将此次泄密事件背后的漏洞CVE-2025-47729添加到其已知可利用漏洞(KEV)列表中。之后情况进一步恶化。以发布泄露数据集而闻名的非营利组织“分布式拒绝服务(DDoSecrets)”在其网站上存档并索引了所有被盗数据集。该存档包含从此次泄密事件中窃取的410GB敏感数据。

根据其具有约束力的操作指令，CISA已指示所有联邦机构在2025年7月22日之前应用可用的补丁或停止使用受影响的软件。虽然该指令仅适用于联邦系统，但它强烈提醒任何使用TeleMessage SGNL的组织要迅速采取行动。

在确认补丁安装之前，更安全的做法是在处理敏感通信的环境中限制访问或暂时禁用该应用。尽管如此，研究人员仍敦促使用TeleMessage或Spring Boot进行内部服务的组织认真对待此事，并：

1. 查看所有执行器端点暴露
2. /heapdump立即禁用或限制对端点的访问
3. 阻止GreyNoise标记的正在探测此漏洞的IP
4. 升级到使用更安全的默认配置的Spring Boot受支持版本