TeleMessage SGNL là một ứng dụng sao chép Signal hiện thuộc sở hữu của Smarsh, một công ty tập trung vào tuân thủ, cung cấp các giải pháp truyền thông đám mây hoặc tại chỗ cho nhiều tổ chức khác nhau. TeleMessage cho phép người dùng lưu trữ tin nhắn được gửi qua các ứng dụng như WhatsApp, Telegram và Signal. 

Quét các điểm cuối dễ bị tấn công

Công ty giám sát mối đe dọa GreyNoise đã phát hiện nhiều nỗ lực khai thác lỗ hổng CVE-2025-48927, có thể là từ các tác nhân đe dọa khác nhau.

Theo báo cáo của GreyNoise, tính đến ngày 16/7 vừa qua, GreyNoise đã phát hiện 11 địa chỉ IP đang cố gắng khai thác lỗ hổng CVE-2025-48927".

Hoạt động do thám liên quan đang diễn ra. Dữ liệu đo từ xa của GreyNoise cho thấy hoạt động quét tích cực đối với các điểm cuối Spring Boot Actuator, một dấu hiệu tiềm năng để xác định các hệ thống bị ảnh hưởng bởi CVE-2025-48927.

Theo GreyNoise, hơn hai nghìn địa chỉ IP đã quét các điểm cuối Sprint Boot Actuator trong những tháng qua, hơn 75% trong số đó nhắm mục tiêu cụ thể vào các điểm cuối ‘/health’.

Lỗ hổng CVE-2025-48927 là do việc để lộ điểm cuối ‘/heapdump’ từ Spring Boot Actuator mà không có xác thực. TeleMessage đã giải quyết vấn đề này nhưng một số cài đặt tại chỗ vẫn còn tồn tại lỗ hổng.

Khi sử dụng các cấu hình Spring Boot lỗi thời không hạn chế quyền truy cập vào các điểm cuối chẩn đoán, lỗ hổng này cho phép kẻ tấn công tải xuống một bản sao lưu bộ nhớ heap Java đầy đủ có dung lượng khoảng 150MB, có thể chứa tên người dùng, mật khẩu, mã thông báo và các dữ liệu nhạy cảm khác.

Để phòng chống các cuộc tấn công này, người dùng nên vô hiệu hóa hoặc hạn chế quyền truy cập vào điểm cuối /heapdump chỉ trong phạm vi IP đáng tin cậy và hạn chế tối đa việc tiếp xúc với tất cả các điểm cuối Actuator.

Lưu trữ tin nhắn Signal

Ứng dụng TeleMessage SGNL được thiết kế để cung cấp giao tiếp được mã hóa với tính năng lưu trữ tích hợp, nhờ đó tất cả các cuộc trò chuyện, cuộc gọi và tệp đính kèm đều được tự động lưu trữ để tuân thủ, kiểm tra hoặc lưu trữ hồ sơ.

Những tuyên bố này đã bị bác bỏ bởi các nghiên cứu trước đây cho rằng, mã hóa đầu cuối không được duy trì và dữ liệu nhạy cảm, bao gồm cả tin nhắn, được lưu trữ dưới dạng văn bản thuần túy.

Vụ việc này đã bị phát hiện vào tháng 5/2025, khi một tin tặc truy cập vào điểm cuối chẩn đoán và tải xuống thông tin đăng nhập cùng nội dung đã lưu trữ. Sự kiện này đã gây ra những lo ngại về an ninh quốc gia tại Hoa Kỳ, sau khi có thông tin tiết lộ rằng sản phẩm này đang được Cơ quan Hải quan và Bảo vệ Biên giới và các quan chức sử dụng.

CVE-2025-48927 đã được công bố vào tháng 5 năm nay và Hệ thống kiểm định thông tin của Hoa Kỳ (CISA) đã thêm nó vào danh mục Lỗ hổng Đã khai thác đã biết (KEV) vào ngày 01/7, yêu cầu tất cả các cơ quan liên bang áp dụng các biện pháp giảm thiểu rủi ro trước ngày 22/7.

CISA cũng đã liệt kê CVE-2025-48928, một lỗ hổng trong SGNL, trong đó một ứng dụng JSP làm lộ một bản sao lưu bộ nhớ chứa mật khẩu được gửi qua HTTP cho người dùng trái phép.

Theo bình luận của Smarsh, CVE-2025-48927 đã được khắc phục hoàn toàn trong môi trường TeleMessage vào đầu tháng 5. Việc khắc phục đó đã được đối tác an ninh mạng bên thứ ba xác minh độc lập. Là một nền tảng phần mềm được cung cấp qua dạng dịch vụ (SaaS) gốc đám mây, tất cả các bản sửa lỗi đã được áp dụng tập trung và khách hàng không cần thực hiện bất kỳ hành động nào. Do đó, mọi nỗ lực khai thác CVE-2025-48927 kể từ thời điểm đó đều không thành công.

Hà Linh