威胁行为体扫描含漏洞Spring Boot工具的应用

企业管理员若尚未修复包含开源Spring Boot工具的应用中一个存在两个月的漏洞，可能会遇到麻烦：利用该漏洞的尝试仍在持续进行中。

Spring Boot是一种帮助开发者使用基于Java的框架创建微服务和Web应用程序的工具。根据开发者学习平台Amigoscode四月份的报告，Spring Boot“仍然是2025年Java开发者中最强大且广泛采用的框架之一”。

该漏洞最初于五月份在TeleMessage SGNL中被发现并报告。TeleMessage SGNL是一种类似于Signal的企业消息系统，同时捕获和归档移动消息。

然而，GreyNoise的研究人员报告称，仅本周就有至少11个IP地址试图利用包含该漏洞（CVE-2025-48927）的应用程序。周五下午，在新闻报道重复GreyNoise的警报后，扫描该漏洞的IP地址数量已跃升至1000多个。

GreyNoise表示，在过去的90天里，有超过2000个IP地址扫描了Spring Boot Actuator端点。其中，1582个IP专门针对常用于检测互联网暴露的Spring Boot部署的/health端点。

如果发现包括TeleMessage SGNL在内的应用程序存在易受攻击的实现，它们可能被利用来窃取堆内存中的敏感数据，包括明文用户名和密码。该漏洞严重到足以在本周被添加到美国网络安全和基础设施安全局的已知被利用漏洞目录中。

目前尚不清楚有多少与Spring Boot相关的端点仍处于风险之中。GreyNoise的一名研究人员本周发现，许多设备仍然开放且易受该漏洞利用。

Spring Boot的使用方式

GreyNoise表示，TeleMessage SGNL中的问题源于该平台继续使用Spring Boot Actuator中的旧配置，其中诊断性/heapdump端点在互联网上公开可访问，无需身份验证。

缓解任何使用Spring Boot的应用程序中的该漏洞相对容易：阻止访问除/info和/health之外的所有Spring Boot端点。

TeleMessage SGNL由美国的Smarsh销售，该公司提供多种归档、通信合规、信息治理和数据迁移解决方案。目前尚不清楚Smarsh在多大程度上推广TeleMessage SGNL；该应用程序有一个主页，但其中没有链接提供有关该产品的更多信息。

在回复CSO的查询时，Smarsh的一位发言人表示，CVE-2025-48927在五月初已在TeleMessage环境中完全修复。该修复已由第三方网络安全合作伙伴独立验证。发言人称，作为云原生SaaS平台，所有修复都是集中应用的，客户无需采取任何行动。自那时起，任何利用CVE-2025-48927的尝试均未成功。

事件响应公司Cypher的首席运营官Ed Dubrovsky指出，TeleMessage SGLN的用户群比Signal小得多，因此该漏洞的可能影响较小。

然而，他指出，利用该漏洞可以远程复制应用程序堆内存中高达150MB的数据，如果其中包括文本消息，“可能会带来严重关切”。

警惕克隆应用

他补充说：“从CISO/CSO的角度来看，除非有非常具体的原因，否则应 discourag 使用克隆应用。主要原因是随着受众变小，这些克隆应用得不到开发人员的足够关注，增加了零日和其他漏洞的风险。”

“最后，”他说，“提醒用户不要重复使用登录名/密码，并限制在文本应用中共享非机密信息。”

加拿大事件响应公司Digital Defence的负责人Robert Beggs指出，TeleMessage SGNL用户应注意的其他安全问题也在五月份被报告。美国国家标准与技术研究院（NIST）报告称，该应用程序使用MD5进行密码哈希，“这以低计算努力打开了各种攻击可能性（包括彩虹表）”（CVE-2025-48931）。

他在一封电子邮件中表示，MD5是一种过时的加密方法，已知不安全。他还指出，NIST表示这些哈希密码可以被TeleMessage SGNL接受作为身份验证凭据（CVE-2025-48925）。

Beggs说：“在某种程度上，TeleMessage SGNL‘骑在’Signal的端到端安全声明的‘背上’，复制了其界面的外观和感觉。”鉴于这一事实，他问道：“CISO如何区分第三方产品和可能具有更强安全性的原始产品？”

他表示，这些漏洞突显了一个潜在风险：由敌对国或有组织的黑客集团操作的木马应用程序，设计为看起来安全合规，可能会在后台秘密收集未加密的数据。“政府、金融机构和寻求保护知识产权的组织可能面临此类攻击的风险，”他说。“这些数据可能被用作终极内部威胁。”

本故事已更新，包括Smarsh的声明。