Perusahaan intelijen ancaman GreyNoise melaporkan bahwa upaya eksploitasi terhadap kerentanan CVE-2025-48927 pada aplikasi TeleMessage masih terus berlangsung. Setidaknya 11 alamat IP telah aktif mencoba memanfaatkan celah keamanan ini sejak April, dengan ribuan IP lainnya diduga melakukan pekerjaan pengintaian.
Kerentanan ini memungkinkan peretas mengekstrak data dari sistem yang rentan, disebabkan oleh penggunaan konfirmasi lama di Spring Boot Actuator, di mana endpoint diagnostik /heapdump dapat diakses secara publik tanpa otentikasi. TeleMessage, yang mirip dengan Signal namun dengan fitur arsip percakapan untuk kepatuhan, sebelumnya diakuisisi oleh perusahaan AS Smarsh pada tahun 2024 dan sempat menangguhkan layanannya setelah insiden keamanan pada Mei lalu yang mengakibatkan pencurian data.
Meskipun TeleMessage menyatakan telah menambal kerentanan ini, waktu penambalan dapat bervariasi. Celah keamanan ini sangat signifikan mengingat pengguna TeleMessage termasuk organisasi pemerintah dan perusahaan besar, bahkan pejabat pemerintah AS seperti Mike Waltz, Bea Cukai dan Perlindungan Perbatasan AS, serta bursa kripto Coinbase. GreyNoise merekomendasikan pengguna untuk memblokir IP berbahaya dan menonaktifkan atau membatasi akses ke endpoint /heapdump serta membatasi eksposur ke endpoint Actuator.
Kasus ini menyoroti peningkatan pencurian kripto pada tahun 2025, dengan Chainalysis melaporkan lebih dari $2,17 miliar telah dicuri. Upaya pencurian kredensial sering melibatkan serangan phishing, malware berbahaya, dan rekayasa sosial.
