Nỗ lực liên tục của tin tặc để khai thác lỗ hổng trong ứng dụng TeleMessage

Từ thứ Tư, ít nhất mười một địa chỉ IP đã chủ động cố gắng khai thác lỗ hổng, với hàng ngàn địa chỉ khác có thể đang thực hiện công tác trinh sát.

Tin tặc tiếp tục thăm dò lỗ hổng nổi tiếng CVE-2025-48927 trong ứng dụng TeleMessage, theo báo cáo từ một công ty an ninh mạng.

Thẻ giám sát của công ty đã xác định 11 địa chỉ IP cố gắng khai thác lỗ hổng từ tháng Tư.

Ngoài ra, 2.009 địa chỉ IP đã quét các điểm cuối của Spring Boot Actuator trong 90 ngày qua, với 1.582 địa chỉ cụ thể nhắm vào các điểm cuối /health, thường chỉ ra việc triển khai Spring Boot Actuator.

Lỗ hổng này cho phép tin tặc trích xuất dữ liệu từ các hệ thống bị ảnh hưởng. Vấn đề phát sinh từ việc nền tảng tiếp tục sử dụng một tính năng cũ trong Spring Boot Actuator, để điểm cuối chẩn đoán /heapdump có thể truy cập công khai mà không cần xác thực, như được giải thích bởi nhóm nghiên cứu.

TeleMessage, tương tự như ứng dụng Signal nhưng có thêm tính năng lưu trữ cuộc trò chuyện để tuân thủ, có trụ sở tại Israel. Nó đã được công ty Smarsh của Mỹ mua lại vào năm 2024 nhưng phải tạm ngừng dịch vụ sau một vụ vi phạm bảo mật vào tháng Năm, dẫn đến việc đánh cắp dữ liệu từ ứng dụng.

"TeleMessage đã xác nhận rằng họ đã vá lỗ hổng," một chuyên gia an ninh mạng cho biết. "Tuy nhiên, hiệu quả của việc vá có thể thay đổi dựa trên nhiều yếu tố."

Mặc dù lỗ hổng trong ứng dụng không may là phổ biến, lỗ hổng của TeleMessage gây ra rủi ro đáng kể cho cơ sở người dùng của nó, bao gồm các tổ chức chính phủ và doanh nghiệp. Người dùng có thể bao gồm các quan chức chính phủ cũ của Mỹ, Cơ quan Hải quan và Bảo vệ Biên giới Mỹ, và sàn giao dịch tiền điện tử Coinbase.

Công ty an ninh mạng khuyên người dùng chặn các địa chỉ IP độc hại và vô hiệu hóa hoặc hạn chế quyền truy cập vào điểm cuối /heapdump. Ngoài ra, họ gợi ý hạn chế tiếp xúc với các điểm cuối Actuator để giảm thiểu rủi ro.

Theo Cointelegraph

Tin khác