Безопасная альтернатива Signal? Поздравляем, ваша переписка теперь достояние общественности
NewsMaker/heapdump открыт? Попрощайтесь с токенами, логинами, паролями...
Исследователи зафиксировали атаки через уязвимость CVE-2025-48927 в корпоративном приложении TeleMessage SGNL. Это средство защищённой переписки, в котором предусмотрено автоматическое архивирование сообщений. Оно позиционируется как безопасная альтернатива Signal, но с поддержкой централизованного хранения данных — для аудита и соответствия требованиям регуляторов. Платформа принадлежит компании Smarsh, которая разрабатывает решения для корпоративной связи как в облаке, так и на локальных серверах.
Уязвимость позволяет извлекать логины, пароли и токены напрямую из оперативной памяти сервера. С её помощью можно получить дамп Java-приложения объёмом около 150 МБ — нередко с незашифрованными учётными данными внутри.
По информации компании GreyNoise , как минимум 11 IP-адресов уже пытались воспользоваться этой брешью. Параллельно идёт массовое сканирование на наличие диагностических точек доступа Spring Boot, особенно
Проблема затрагивает эндпоинт
Аналитики советуют полностью отключить
С SGNL уже случались инциденты. В мае 2025 года, например, хакер получил доступ к диагностическому интерфейсу и скачал архивированные переписки пользователей вместе с их учётными данными. Расследование показало: несмотря на заявления о сквозном шифровании, часть сообщений хранилась в открытом виде. Проблема получила резонанс, так как SGNL использовали сотрудники американской Таможенно-пограничной службы и конгрессмен Майк Уолтц.
CVE-2025-48927 была раскрыта также в мае и уже 1 июля попала в каталог активно эксплуатируемых уязвимостей (KEV), который ведёт Агентство по кибербезопасности и инфраструктурной безопасности США (CISA). Все федеральные ведомства обязаны закрыть брешь не позднее 22 июля. В список KEV также добавили баг CVE-2025-48928, который затрагивает JSP-компонент SGNL. Там дамп памяти, включающий пароли, передававшиеся по HTTP, тоже мог быть доступен без авторизации.
В комментарии для журналистов компания Smarsh сообщила , что устранила обе уязвимости в облачной версии SGNL. Обновления прошли проверку независимыми специалистами. Поскольку SGNL — это SaaS-платформа, исправления внедрялись централизованно и не требовали участия со стороны клиентов. После этого все попытки атак оказались безуспешными. Однако эти меры не касаются локальных инсталляций, где защита зависит от действий самих администраторов.
Итак, с учётом продолжающегося сканирования и зарегистрированных попыток эксплуатации, угроза остаётся актуальной. Владельцам локальных установок стоит как можно скорее проверить настройки доступа и установить все доступные патчи.
Исследователи зафиксировали атаки через уязвимость CVE-2025-48927 в корпоративном приложении TeleMessage SGNL. Это средство защищённой переписки, в котором предусмотрено автоматическое архивирование сообщений. Оно позиционируется как безопасная альтернатива Signal, но с поддержкой централизованного хранения данных — для аудита и соответствия требованиям регуляторов. Платформа принадлежит компании Smarsh, которая разрабатывает решения для корпоративной связи как в облаке, так и на локальных серверах.
Уязвимость позволяет извлекать логины, пароли и токены напрямую из оперативной памяти сервера. С её помощью можно получить дамп Java-приложения объёмом около 150 МБ — нередко с незашифрованными учётными данными внутри.
По информации компании GreyNoise , как минимум 11 IP-адресов уже пытались воспользоваться этой брешью. Параллельно идёт массовое сканирование на наличие диагностических точек доступа Spring Boot, особенно
/health, который часто остаётся открытым. Более 75% таких запросов приходятся именно на него. Подобная активность может говорить о подготовке к дальнейшей атаке. Проблема затрагивает эндпоинт
/heapdump, доступ к которому в некоторых конфигурациях не требует авторизации. Если интерфейс открыт в интернет, любой пользователь может скачать дамп памяти и получить доступ к конфиденциальной информации. Smarsh устранила уязвимость в облачной версии SGNL в мае 2025 года, однако серверные инсталляции по-прежнему могут оставаться подверженными риску — особенно если системные администраторы не обновили конфигурацию вручную. Аналитики советуют полностью отключить
/heapdump или ограничить его доступ доверенными IP-адресами. Также рекомендуется закрыть и другие Actuator-эндпоинты, даже те, что кажутся безвредными, например /health, поскольку они могут дать злоумышленнику представление о конфигурации приложения. С SGNL уже случались инциденты. В мае 2025 года, например, хакер получил доступ к диагностическому интерфейсу и скачал архивированные переписки пользователей вместе с их учётными данными. Расследование показало: несмотря на заявления о сквозном шифровании, часть сообщений хранилась в открытом виде. Проблема получила резонанс, так как SGNL использовали сотрудники американской Таможенно-пограничной службы и конгрессмен Майк Уолтц.
CVE-2025-48927 была раскрыта также в мае и уже 1 июля попала в каталог активно эксплуатируемых уязвимостей (KEV), который ведёт Агентство по кибербезопасности и инфраструктурной безопасности США (CISA). Все федеральные ведомства обязаны закрыть брешь не позднее 22 июля. В список KEV также добавили баг CVE-2025-48928, который затрагивает JSP-компонент SGNL. Там дамп памяти, включающий пароли, передававшиеся по HTTP, тоже мог быть доступен без авторизации.
В комментарии для журналистов компания Smarsh сообщила , что устранила обе уязвимости в облачной версии SGNL. Обновления прошли проверку независимыми специалистами. Поскольку SGNL — это SaaS-платформа, исправления внедрялись централизованно и не требовали участия со стороны клиентов. После этого все попытки атак оказались безуспешными. Однако эти меры не касаются локальных инсталляций, где защита зависит от действий самих администраторов.
Итак, с учётом продолжающегося сканирования и зарегистрированных попыток эксплуатации, угроза остаётся актуальной. Владельцам локальных установок стоит как можно скорее проверить настройки доступа и установить все доступные патчи.