В последние месяцы внимание специалистов по кибербезопасности привлекла уязвимость в популярном приложении обмена сообщениями TeleMessage, используемом государственными организациями и крупными корпорациями. Согласно отчету компании GreyNoise, которая занимается мониторингом и анализом вредоносной активности в интернете, хакеры продолжают производить разведывательные операции и попытки эксплуатации уязвимости с кодом CVE-2025-48927. Данная уязвимость связана с неправильной конфигурацией компонента Spring Boot Actuator, который используется разработчиками для диагностики и мониторинга приложений на базе Spring Framework. Главная проблема заключается в том, что диагностический эндпоинт /heapdump доступен публично и не требует аутентификации, что позволяет злоумышленникам извлекать конфиденциальные данные с уязвимых серверов. По состоянию на середину июля 2025 года было зафиксировано по крайней мере 11 IP-адресов, которые демонстрировали попытки прямого использования этой уязвимости.
Помимо этого, тысячи других IP-адресов производят активный поиск и сбор разведывательных данных, чтобы выявить открытые Spring Boot Actuator конечные точки, включая /health, которые обычно используются для обнаружения такого типа систем. Особое значение эта уязвимость приобретает ввиду специфики самой платформы TeleMessage. В отличие от многих мессенджеров, TeleMessage ориентирован на хранение и архивирование чатов для нужд соблюдения нормативных требований, что делает его ценным активом для компаний, банков и государственных ведомств. Приложение до недавнего времени базировалось на устаревших компонентах, что негативно сказалось на уровне защиты пользователей. В 2024 году TeleMessage, принадлежавшее израильской компании, было приобретено американской фирмой Smarsh.
Однако в мае 2025 года произошёл крупный инцидент безопасности, в результате которого из приложения были украдены важные файлы, что вынудило сервис временно приостановить работу. Несмотря на официальные заявления TeleMessage о том, что уязвимость была устранена, эксперты из GreyNoise предупреждают, что сроки применения патчей могут значительно варьироваться в зависимости от инфраструктуры и организационных факторов. Для хакеров же продолжение разведывательных действий указывает на возможную подготовку к более масштабным атакам и эксплуатации слабых мест. Угроза существенно усиливается тем, что среди пользователей TeleMessage есть представители высоких государственных структур, включая бывших американских чиновников и организации, занимающиеся контролем границ и безопасности. Также в числе клиентов мессенджера фигурируют крупные криптовалютные биржи и финансовые учреждения, что связывает уязвимость с повышенными рисками кражи персональных и финансовых данных.
Помимо технических аспектов уязвимости, стоит отметить и общую тенденцию роста киберпреступности в криптоиндустрии, которую фиксируют аналитики на протяжении 2025 года. Общие потери от связанных с криптовалютами краж превысили два миллиарда долларов, что делает безопасность в этом секторе одной из приоритетных задач для специалистов по всему миру. Ключевым способом защиты от таких угроз является своевременное обновление программного обеспечения и правильная конфигурация сервисов. В частности, специалистами рекомендуется полностью отключать или жестко ограничивать доступ к конечным точкам Actuator, особенно к /heapdump, чтобы минимизировать возможность извлечения данных без аутентификации. Также рекомендуется блокировать IP-адреса, замеченные в подозрительной активности, а для организаций крайне важно разработать политику реагирования на инциденты, включающую проактивное мониторирование трафика и внешних попыток доступа к инфраструктуре.
