威胁行为体正在扫描包含易受攻击Spring Boot工具的应用

企业管理员若尚未修复包含开源Spring Boot工具的应用中存在两个月之久的漏洞，可能会陷入困境：利用该漏洞的攻击尝试仍在持续进行中。

Spring Boot是帮助开发者使用基于Java的框架创建微服务和Web应用程序的工具。根据开发者学习平台Amigoscode四月份的报告，Spring Boot"仍然是2025年Java开发者最强大且广泛采用的框架之一"。

该漏洞最初于5月在TeleMessage SGNL中发现并报告，这是一个类似于Signal的企业消息系统，同样能够捕获和归档移动消息。

大规模扫描活动进行中

GreyNoise研究人员报告称，仅本周就有至少11个IP地址试图利用包含该漏洞（CVE-2025-48927）的应用程序。周五下午，在新闻报道重复GreyNoise警报后，扫描该漏洞的IP地址数量已跃升至1000多个。

GreyNoise表示，过去90天内已有超过2000个IP地址扫描了Spring Boot Actuator端点。其中1582个IP专门针对常用于检测互联网暴露的Spring Boot部署的/health端点。

漏洞严重性及影响

如果发现包括TeleMessage SGNL在内的应用程序存在易受攻击的实现，攻击者可能利用该漏洞窃取堆内存中的敏感数据，包括明文用户名和密码。该漏洞严重程度足够高，已于本周被添加到美国网络安全和基础设施安全局的已知被利用漏洞目录中。

目前尚不清楚有多少Spring Boot相关端点仍处于风险之中。GreyNoise研究人员本周发现许多设备仍然开放且易受攻击。

技术原理分析

GreyNoise指出，TeleMessage SGNL中的问题源于平台继续使用Spring Boot Actuator中的传统配置，其中诊断性/heapdump端点在互联网上公开可访问，无需身份验证。

在任何使用Spring Boot的应用程序中缓解该漏洞相对容易：阻止访问除/info和/health之外的所有Spring Boot端点。

厂商回应与安全建议

TeleMessage SGNL由美国的Smarsh销售，该公司提供多种归档、通信合规、信息治理和数据迁移解决方案。Smarsh发言人在回复CSO查询时表示，CVE-2025-48927已于5月初在TeleMessage环境中完全修复。

事件响应公司Cypher的首席运营官Ed Dubrovsky指出，TeleMessage SGLN的用户群比Signal小得多，因此该漏洞的可能影响较小。然而，他注意到利用该漏洞可以远程复制最多150MB的应用程序堆内存数据，如果包含短信，“可能构成严重关切”。

克隆应用的安全风险

Dubrovsky补充道：“从CISO/CSO的角度来看，除非有非常特定的使用理由，否则应 discourag 使用克隆应用程序。主要原因是随着受众变小，这些克隆应用程序无法获得开发人员的足够关注，增加了零日和其他漏洞的风险。”

加拿大事件响应公司Digital Defence负责人Robert Beggs指出了TeleMessage SGNL用户应注意的其他安全问题。美国国家标准与技术研究院（NIST）报告称，该应用程序使用MD5进行密码哈希处理，“这以较低的计算努力开启了各种攻击可能性（包括彩虹表）"（CVE-2025-48931）。

Beggs强调，这些漏洞突显了潜在风险：由敌对国家或有组织黑客团体操作的木马应用程序，设计成看起来符合安全要求，可能在后台秘密收集未加密数据。“政府、金融机构和寻求保护知识产权的组织可能面临此类攻击的风险。这些数据可能被用作最终的内部威胁。”