🟨"Vulnerabilità CVE-2025-48927: Allerta per gli utenti di TeleMessage"
Giorno: 19 luglio 2025 | Ora: 01:22 Gli hacker stanno sfruttando la vulnerabilità CVE-2025-48927 in TeleMessage, con 11 IP attivi nell'exploit e 2.009 in ricerca di endpoint Spring Boot Actuator. La falla consente l'accesso a dati sensibili. TeleMessage ha risolto il problema, ma gli utenti, tra cui enti governativi, sono a rischio. GreyNoise raccomanda di bloccare IP malevoli e limitare l'accesso agli endpoint. Nel 2025, i furti di criptovalute hanno superato i 2,17 miliardi di dollari, con attacchi significativi come quelli a Bybit e furti tramite phishing e malware.
Gli hacker continuano a cercare opportunità per sfruttare la vulnerabilità CVE-2025-48927, nota per coinvolgere TeleMessage, secondo un nuovo rapporto dell'azienda di intelligence sulle minacce GreyNoise. Il monitoraggio degli exploit ha registrato 11 indirizzi IP che hanno tentato di approfittare della vulnerabilità da aprile. Inoltre, 2.009 IP hanno effettuato ricerche per gli endpoint Spring Boot Actuator negli ultimi 90 giorni, con 1.582 IP che hanno mirato specificamente agli endpoint _/health_, utilizzati comunemente per rilevare implementazioni di Spring Boot Actuator.
Questa falla consente di estrarre dati dai sistemi vulnerabili, poiché deriva dall'uso continuativo di una conferma obsoleta in Spring Boot Actuator, dove un endpoint diagnostico _/heapdump_ è accessibile pubblicamente senza autenticazione. TeleMessage, simile all'app Signal, permette l'archiviazione delle chat per motivi di compliance. L'azienda israeliana è stata acquisita dalla compagnia statunitense Smarsh nel 2024, prima di sospendere temporaneamente i servizi dopo una violazione della sicurezza a maggio, che ha portato al furto di file dall'app.
TeleMessage ha comunicato che la vulnerabilità è stata risolta, anche se i tempi di implementazione delle patch possono variare a seconda di vari fattori. Sebbene le debolezze nella sicurezza delle app siano più comuni di quanto si desideri, questa vulnerabilità potrebbe avere conseguenze significative per gli utenti, che includono organizzazioni governative ed aziende. Tra gli utenti dell'app potrebbero esserci ex funzionari del governo statunitense, come Mike Waltz, e enti come il US Customs and Border Protection e l'exchange di criptovalute Coinbase.
GreyNoise consiglia di bloccare gli IP malevoli e di disabilitare o limitare l'accesso all'endpoint _/heapdump_. Inoltre, limitare l'esposizione agli endpoint Actuator potrebbe rivelarsi utile.
Un altro tema preoccupante è l'aumento dei furti di criptovalute nel 2025, con Chainalysis che riporta oltre 2,17 miliardi di dollari rubati finora, un ritmo che porterebbe i furti legati alle criptovalute a nuovi massimi. Tra gli attacchi alla sicurezza più significativi degli ultimi mesi ci sono gli attacchi fisici noti come "wrench attacks" ai danni dei possessori di Bitcoin e incidenti di alto profilo come l'hack dell'exchange di criptovalute Bybit avvenuto a febbraio.
Le tentativi di furto di credenziali spesso coinvolgono attacchi di phishing, malware malevolo e ingegneria sociale.
