Los hackers continúan buscando oportunidades para explotar la infame vulnerabilidad CVE-2025-48927 involucrada en TeleMessage, según un nuevo informe de la empresa de inteligencia de amenazas GreyNoise.
La etiqueta de GreyNoise, que monitorea los intentos de aprovechar la vulnerabilidad, ha detectado 11 direcciones IP que han intentado la explotación desde abril.
Otras direcciones IP pueden estar realizando trabajo de reconocimiento: Un total de 2.009 IP han buscado endpoints de Spring Boot Actuator en los últimos 90 días, y 1.582 IP han apuntado específicamente a los /health endpoints, que comúnmente detectan despliegues de Spring Boot Actuator.
La falla permite a los hackers extraer datos de sistemas vulnerables. El problema "proviene del uso continuado por parte de la plataforma de una confirmación heredada en Spring Boot Actuator, donde un endpoint de diagnóstico /heapdump es accesible públicamente sin autenticación", dijo el equipo de investigación a Cointelegraph.
TeleMessage es similar a la aplicación Signal pero permite el archivo de chats con fines de cumplimiento. Con sede en Israel, la empresa fue adquirida por la empresa estadounidense Smarsh en 2024, antes de suspender temporalmente los servicios tras una brecha de seguridad en mayo que resultó en el robo de archivos de la aplicación.
"TeleMessage ha declarado que la vulnerabilidad ha sido parcheada por su parte", dijo Howdy Fisher, miembro del equipo de GreyNoise. "Sin embargo, los plazos de los parches pueden variar dependiendo de diversos factores".
Aunque las debilidades de seguridad en las aplicaciones son más comunes de lo deseado, la vulnerabilidad de TeleMessage podría ser significativa para sus usuarios: organizaciones gubernamentales y empresas. Los usuarios de la aplicación pueden incluir a exfuncionarios del gobierno de EE. UU. como Mike Waltz, la Oficina de Aduanas y Protección Fronteriza de EE. UU. y el exchange de criptomonedas Coinbase.
GreyNoise recomienda a los usuarios bloquear las IP maliciosas y deshabilitar o restringir el acceso al endpoint /heapdump. Además, limitar la exposición a los endpoints de Actuator puede ser útil, afirmó.
El robo de criptomonedas aumenta en 2025; las credenciales en la darknet se venden por miles
El último informe de delitos de Chainalysis señala que más de 2.170 millones de dólares han sido robados en lo que va de 2025, un ritmo que llevaría los robos relacionados con criptomonedas a nuevos máximos. Entre los ataques de seguridad notables de los últimos meses se incluyen los "ataques de llave inglesa" a los poseedores de Bitcoin e incidentes de alto perfil como el hackeo de febrero del exchange de criptomonedas Bybit.
Los intentos de robar credenciales a menudo implican ataques de phishing, malware y la ingeniería social.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.