Les chercheurs avertissent les administrateurs d’agir maintenant; Le trou dans l’outil open source est attaqué.
Les administrateurs d’entreprise qui n’ont pas encore atténué une vulnérabilité de deux mois dans les applications qui incorporent l’outil de démarrage de printemps open source pourraient être en difficulté: les tentatives d’exploiter le trou sont toujours en cours.
Spring Boot est un outil aide les développeurs à utiliser des frameworks basés sur Java pour créer des microservices et des applications Web. Selon un rapport d’avril par Amigoscode, une plate-forme d’apprentissage pour les développeurs, Spring Boot « reste l’un des cadres les plus puissants et les plus adoptés pour les développeurs Java en 2025. »
La faille a été signalée pour la première fois en mai après avoir été trouvée dans TeleMessage SGNL, un système de messagerie d’entreprise similaire à Signal qui capture et arche également les messages mobiles.
Cependant, les chercheurs de Greynoise ont rapporté qu’au moins 11 adresses IP tentaient d’exploiter les applications contenant la vulnérabilité (CVE-2025-48927) cette semaine seule. Vendredi après-midi, après que les reportages ont répété l’alerte Greynoise, le nombre d’adresses IP scannant pour la vulnérabilité était passé à plus de 1 000.
Greynoise a déclaré que plus de 2 000 adresses IP avaient analysé les points de terminaison de l’actionneur de démarrage de Spring au cours des 90 derniers jours. Parmi eux, 1 582 IPS ont spécifiquement ciblé les points de terminaison, couramment utilisés pour détecter les déploiements de démarrage Spring exposés à Internet.
Si des implémentations vulnérables d’applications, y compris TeleMessage SGNL, sont trouvées, elles pourraient être exploitées pour voler des données sensibles dans la mémoire du tas, y compris les noms d’utilisateur et les mots de passe en texte clair. Le trou est suffisamment sérieux pour avoir été ajouté cette semaine au catalogue exploité des vulnérabilités exploité de la Cybersecurity et de la Sécurité des infrastructures américaines.
Il n’est pas clair combien de critères de terminaison liés aux bottes de printemps sont toujours en danger. Un chercheur de Greynoise cette semaine a révélé que de nombreux appareils sont toujours ouverts et vulnérables à l’exploit.
Comment le démarrage du printemps est utilisé
Greynoise dit que le problème de TeleMessage SGNL découle de l’utilisation continue par la plate-forme d’une configuration héritée dans l’actionneur de démarrage Spring dans lequel un point de terminaison de diagnostic est accessible au public sur Internet, sans authentification.
Atténuer la vulnérabilité dans toute application qui utilise Spring Boot est relativement facile: l’accès à blocs à tous les points de terminaison de démarrage Spring autre que / info et / santé.
TeleMessage SGNL est vendu par SMARSH, basé aux États-Unis, qui propose un certain nombre d’archives, de conformité aux communications, de gouvernance de l’information et de solutions de migration des données. Il n’est pas clair à quel point SMARSH commercialise actuellement beaucoup de marketing TeleMessage SGNL; Il y a une page d’accueil pour l’application, mais aucun lien à l’intérieur, il y a plus d’informations sur le produit.
La base d’utilisateurs de TeleMessage SGLN est beaucoup plus petite que celle de Signal, note Ed Dubrovsky, chef de l’exploitation de la société de réponse aux incidents Cypher, donc l’impact possible de cette vulnérabilité est plus petit.
Cependant, a-t-il noté, l’exploitation de la faille permet une copie à distance jusqu’à 150 Mo de données de la mémoire de tas de l’application, qui, si elle inclut des messages texte, «peut présenter une sérieuse préoccupation.
Méfiez-vous des applications de clone
« Enfin », a-t-il dit, « rappelez aux utilisateurs de ne pas réutiliser les connexions / mots de passe et limiter les informations partagées dans les applications texte à des informations non confidentielles. »
Robert Beggs, responsable de la société canadienne de réponse aux incidents Digital Defence, a noté d’autres problèmes de sécurité dont les utilisateurs de télémontage SGNL devraient être conscients qui ont également été signalés en mai. L’Institut national américain pour les normes et la technologie (NIST) rapporte que cette application utilise MD5 pour le hachage de mot de passe, «qui ouvre diverses possibilités d’attaque (y compris les tables arc-en-ciel) avec un faible effort de calcul» (CVE-2025-48931).
MD5 est une méthode de cryptage obsolète et est connue pour être peu sûre, a-t-il déclaré dans un e-mail. Il a également souligné que NIST dit que ces mots de passe hachés peuvent être acceptés par TeleMessage SGNL en tant qu’identification d’authentification (CVE-2025-48925).
« Dans une certaine mesure, TeleMessage SGNL` `Rode sur le dos » des réclamations de sécurité de bout en bout de Signal, copie leur apparence pour l’interface », a déclaré Beggs. Compte tenu de ce fait, il a demandé: «Comment un CISO différencie-t-il les produits tiers des produits d’origine qui peuvent avoir une sécurité plus forte en place?»
Les vulnérabilités mettent en évidence un risque potentiel, a-t-il déclaré: Une application de Troie exploitée par un pays hostile ou un groupe de pirates organisé conçu pour paraître conforme à la sécurité pourrait collecter subrepticement des données non cryptées sur le backend. «Les gouvernements, les institutions financières et les organisations qui cherchent à protéger la propriété intellectuelle pourraient être menacés de ce type d’attaque», a-t-il déclaré. «Les données pourraient être utilisées comme menace d’initiés ultime.»
