آسیب‌پذیری در TeleMessage(نسخه کلون‌شده Signal) رمزهای عبور کاربران را فاش می‌کند!

پژوهشگران گزارش داده‌اند که تلاش‌هایی برای سوءاستفاده از آسیب‌پذیری در TeleMessage (نسخه کلون‌شده Signal) با شناسه  CVE-2025-48927  مشاهده شده است. این آسیب‌پذیری به مهاجمان امکان می‌دهد تا نام کاربری، گذرواژه و داده‌های حساس دیگر را به دست آورند. TeleMessage SGNL اپلیکیشنی مشابه Signal است که اکنون تحت مالکیت شرکت Smarsh قرار دارد. این شرکت خدمات ارتباطی مبتنی بر فضای ابری یا نصب در محل را برای سازمان‌های مختلف با تمرکز بر تطابق قانونی ارائه می‌دهد.

آسیب‌پذیری در TeleMessage

شرکت GreyNoise که در زمینه پایش تهدیدها فعالیت می‌کند، چندین تلاش برای سوءاستفاده از آسیب‌پذیری مذکور را ثبت کرده که احتمالا از سوی عاملان تهدید متفاوت انجام شده‌اند. تا تاریخ ۱۶ ژوئیه، این شرکت گزارش داده که از ۱۱ آدرس IP تلاش‌هایی برای سوءاستفاده از این آسیب‌پذیری انجام شده است. رفتارهای مرتبط با شناسایی سیستم‌های آسیب‌پذیر همچنان ادامه دارد. داده‌های GreyNoise نشان می‌دهد که جست‌وجو برای اندپوینت Spring Boot Actuator فعال است، که این ممکن است مقدمه‌ای برای یافتن سیستم‌های آسیب‌دیده از CVE-2025-48927 باشد.

بیش از ۲۰۰۰ آدرس IP طی ماه‌های گذشته در حال اسکن این اندپوینت‌‌ها بوده‌اند و کمی بیش از ۷۵٪ از آن‌ها به‌طور خاص روی اندپوینت /health تمرکز داشته‌اند. آسیب‌پذیری CVE-2025-48927 ناشی از در دسترس بودن بدون احراز هویت اندپوینت /heapdump در Spring Boot Actuator است. با اینکه شرکت TeleMessage این مشکل را برطرف کرده اما برخی نصب‌های در محل همچنان در معرض خطر قرار دارند.

در صورت استفاده از تنظیمات قدیمی Spring Boot که دسترسی به این اندپوینت‌ها را محدود نمی‌کند، مهاجم می‌تواند فایل کامل حافظه heap جاوا به اندازه حدود ۱۵۰ مگابایت را دانلود کند. این فایل ممکن است حاوی اطلاعاتی مانند نام‌های کاربری، گذرواژه‌ها، توکن‌ها و داده‌های حساس دیگر به صورت متنی (plaintext) باشد. برای مقابله با این حملات، پیشنهاد می‌شود دسترسی به اندپوینت /heapdump فقط برای IPهای مورد اعتماد مجاز باشد و به‌طور کلی، دسترسی به تمام اندپوینت‌های Actuator تا حد ممکن محدود شود.

اپلیکیشن TeleMessage SGNL برای ارائه ارتباط رمزگذاری‌شده با قابلیت بایگانی داخلی طراحی شده، به‌طوری که تمام چت‌ها، تماس‌ها و فایل‌های ضمیمه به‌صورت خودکار ذخیره می‌شوند تا برای تطابق قانونی، حسابرسی یا مستندسازی قابل استفاده باشند. با این حال، تحقیقات گذشته این ادعاها را زیر سوال برده‌اند. به گفته این پژوهش‌ها، رمزنگاری سرتاسری (End-to-End) در این اپلیکیشن حفظ نمی‌شود و اطلاعات حساس، از جمله پیام‌ها، به صورت متن ساده ذخیره شده‌اند.

در ماه می ۲۰۲۵، یک هکر با دسترسی به اندپوینت تشخیصی اپلیکیشن، اطلاعات کاربری و محتوای بایگانی‌شده را دانلود کرد. این اتفاق باعث بروز نگرانی‌هایی درباره امنیت ملی ایالات متحده شد، چرا که مشخص شد این اپلیکیشن توسط اداره‌ی گمرک و حفاظت مرزی آمریکا و برخی مقامات از جمله “مایک والتز” استفاده می‌شده است.

آسیب‌پذیری CVE-2025-48927 (آسیب‌پذیری درTeleMessage) در ماه می شناسایی شد و سازمان CISA در اول ژوئیه آن را به فهرست آسیب‌پذیری‌های شناخته‌شده و اکسپلویت‌شده (KEV) اضافه کرد و از همه‌ی نهادهای فدرال خواست تا حداکثر تا ۲۲ ژوئیه راه‌کارهای محافظتی را اعمال کنند. CISA همچنین آسیب‌پذیری CVE-2025-48928 را فهرست کرده که مربوط به یک اشکال دیگر در SGNL است. در این آسیب‌پذیری، یک اپلیکیشن JSP فایل dump حافظه‌ای حاوی گذرواژه‌های منتقل‌شده از طریق HTTP را بدون محدودیت در اختیار کاربران غیرمجاز قرار می‌دهد.

واکنش شرکت Smarsh

سخنگوی شرکت Smarsh اعلام کرده که این آسیب‌پذیری به‌طور کامل در محیط TeleMessage در اوایل ماه می رفع شده است. به گفته‌ی این شرکت، اقدامات اصلاحی توسط شریک امنیتی مستقل آن‌ها تأیید شده و به‌دلیل معماری SaaS مبتنی بر فضای ابری، تمامی اصلاحات به‌صورت مرکزی اعمال شده‌اند و نیازی به اقدام خاصی از سوی مشتریان نبوده است. به همین دلیل، تلاش‌ها برای سوءاستفاده از این آسیب‌پذیری پس از آن تاریخ موفق نبوده‌اند.

منابع: