Agencija za sajberbezbjednost i infrastrukturu (CISA) izdala je hitno upozorenje povodom dva kritična propusta u softveru TeleMessage TM SGNL, koje sajber kriminalci aktivno iskorištavaju u svojim napadačkim kampanjama.
Ovi propusti, označeni kao CVE-2025-48927 i CVE-2025-48928, predstavljaju značajan sigurnosni rizik za organizacije koje koriste ovu komunikacijsku platformu. CISA je oba ova propusta dodala u svoj katalog poznatih eksploatisanih ranjivosti (KEV) 1. jula 2025. godine.
Ključne tačke upozorenja:
1. Propusti CVE-2025-48927 i CVE-2025-48928 otvaraju pristup osjetljivim podacima zbog nebezbjednih konfiguracija Spring Boot Actuatora i JSP unutar TeleMessage TM SGNL.
2. CISA je potvrdila aktivnu eksploataciju ovih ranjivosti i odredila rok do 22. jula 2025. za njihovo otklanjanje, posebno za federalne agencije.
3. Preporučuje se hitna primjena zakrpa dobijenih od proizvođača softvera ili prekid korištenja proizvoda, u skladu sa smjernicama iz Direktive za operativno djelovanje (BOD) 22-01.
4. Sistemi koji ostanu neažurirani izlažu se riziku krađe podataka, eskalacije privilegija i potencijalnih napada ransomwareom.
Organizacije imaju rok do 22. jula 2025. da implementiraju neophodne mjere ublažavanja ili prestanu sa korištenjem pogođenog proizvoda kako bi zaštitile svoju infrastrukturu od potencijalnih kompromitovanja.
Propust u Spring Boot Actuatoru (CVE-2025-48927)
Prvi propust, CVE-2025-48927, okarakterisan je kao greška u inicijalizaciji resursa sa nebezbjednom podrazumevanom konfiguracijom, svrstan pod CWE-1188. Ova kritična sigurnosna slabost proizlazi iz nepravilne konfiguracije komponente Spring Boot Actuator, koja neoprezno otkriva krajnju tačku za izbacivanje sadržaja memorije (heap dump) dostupnu putem URI puta /heapdump. Ova pogrešna konfiguracija omogućava neovlašćenim napadačima pristup memorijskim dumpovima koji mogu sadržavati potencijalno osjetljive informacije, uključujući akreditive za autentifikaciju, sesijske tokene i druge povjerljive podatke pohranjene u memorijskom prostoru aplikacije.
Propust u otkrivanju sadržaja memorije (CVE-2025-48928)
Drugi propust, CVE-2025-48928, odnosi se na izlaganje datoteka sadržaja memorije (core dump files) neovlašćenim kontrolnim sferama, klasifikovan pod CWE-528. Ovaj propust utiče na JSP (JavaServer Pages) arhitekturu aplikacije, gdje sadržaj memorije postaje dostupan na način koji je ekvivalentan tradicionalnim core dumpovima. Propust je posebno zabrinjavajući jer može otkriti lozinke i druge osjetljive podatke za autentifikaciju koji su prethodno bili preneseni putem HTTP veza, stvarajući značajan rizik od curenja podataka za organizacije koje se oslanjaju na TeleMessage TM SGNL za sigurne komunikacije.
Tabela pregleda:
CVE | Opis | Pogođeni proizvodi | CVSS 3.1 Ocjena
—|—|—|—
CVE-2025-48927 | Propust inicijalizacije resursa sa nebezbjednom podrazumevanom konfiguracijom. | TeleMessage TM SGNL | 5.3 (Srednje)
CVE-2025-48928 | Propust izlaganja datoteke sadržaja memorije neovlašćenoj kontrolnoj sferi. | TeleMessage TM SGNL | 4.0 (Srednje)
Mjere ublažavanja
CISA je klasifikovala oba propusta kao aktivno eksploatisane prijetnje, iako agencija napominje da potencijalna upotreba u kampanjama ransomwarea u ovom trenutku nije poznata. Federalna agencija za sajberbezbjednost snažno preporučuje organizacijama da odmah primijene mjere ublažavanja koje pruža proizvođač, naglašavajući kritičnu prirodu ovih sigurnosnih propusta. Dodatno, CISA savjetuje organizacijama da slijede primjenjive smjernice iz Direktive za operativno djelovanje (BOD) 22-01, posebno one koje se odnose na sigurnosne zahtjeve za usluge u oblaku.
Za organizacije koje ne mogu pronaći uputstva proizvođača za ublažavanje, ili one kod kojih odgovarajuće mjere nisu dostupne, CISA preporučuje drastičniji korak potpunog prestanka korištenja proizvoda TeleMessage TM SGNL. Ova preporuka naglašava ozbiljnost propusta i potencijalni utjecaj na sigurnosni položaj organizacije. Rok od 22. jula 2025. pruža uski prozor za organizacije da procijene svoju izloženost, implementiraju odgovarajuće sigurnosne mjere i osiguraju usklađenost sa federalnim direktivama o sajberbezbjednosti, uz održavanje operativne stabilnosti tokom ovog ključnog perioda otklanjanja problema.
