La vulnérabilité de Telemessage permet d’extraire des données du système

Selon un nouveau rapport provenant de Greynoise, les hackers continuent de chercher de nouvelles opportunités pour exploiter la vulnérabilité notoire CVE-2025-48927 impliquée dans Telemessage.

Tirer profit de la vulnérabilité

Greynoise surveille les tentatives faites pour tirer profit de cette vulnérabilité. Ils ont détecté depuis avril de cette année 11 adresses IP qui essaient d’en profiter.

Ce sont cependant uniquement les adresses IP qui tentent directement de bénéficier de cette vulnérabilité. Outre ces adresses, il y a aussi d’autres adresses IP qui effectuent par exemple des travaux de reconnaissance.

Ce nombre est beaucoup plus élevé, car au cours des 90 derniers jours, 2.009 IP ont été trouvées qui ont recherché des points de terminaison d’actuateur Spring Boot.

Extraction de données à partir de systèmes vulnérables

La vulnérabilité permet aux hackers d’extraire des données de systèmes vulnérables. Le problème « provient de l’utilisation continue de la plateforme d’une confirmation legacy dans Spring Boot Actuator, où un point de terminaison diagnostique /heapdump est accessible publiquement sans authentification », selon l’équipe de recherche.

Telemessage est comparable à l’application Signal, mais permet l’archivage des chats pour des raisons de conformité. Basée en Israël, l’entreprise a été acquise par la société américaine Smarsh en 2024, avant de suspendre temporairement ses services après une violation de sécurité en mai qui a conduit au vol de fichiers de l’application.

« Telemessage a déclaré que la vulnérabilité a été patchée de leur côté, » a dit Howdy Fisher, un membre de l’équipe Greynoise. « Cependant, les délais de patch peuvent varier en fonction de plusieurs facteurs. »

Les utilisateurs sont souvent des organisations gouvernementales

Malheureusement, il est plus fréquent que souhaité que des failles de sécurité apparaissent dans les applications. Cependant, cette vulnérabilité de Telemessage serait importante pour ses utilisateurs. Ce sont principalement des organisations gouvernementales et des entreprises. Les utilisateurs de l’application peuvent inclure d’anciens fonctionnaires américains tels que Mike Waltz, US Customs and Border Protection et même la crypto-bourse Coinbase.

Greynoise a immédiatement recommandé aux utilisateurs de bloquer les IP malveillantes et de désactiver ou de restreindre l’accès au point de terminaison /heapdump. De plus, limiter l’exposition aux points de terminaison d’actuateur peut être utile.