Les cybercriminels continuent de cibler la faille critique référencée CVE-2025-48927, touchant l’application TeleMessage, selon un nouveau rapport publié par la société de renseignement en cybersécurité GreyNoise.
Le système de surveillance mis en place par GreyNoise pour suivre l’exploitation de cette vulnérabilité a détecté 11 adresses IP ayant tenté d’en abuser depuis le mois d’avril.
Par ailleurs, un nombre bien plus élevé d’adresses IP semble se livrer à des activités de reconnaissance. Au cours des 90 derniers jours, 2 009 adresses ont recherché des points d’accès liés à Spring Boot Actuator, et 1 582 d’entre elles ont spécifiquement ciblé les endpoints /health, généralement utilisés pour identifier les déploiements Spring Boot.
Cette faille permettrait à des attaquants d’extraire des données à partir de systèmes non sécurisés. Le problème, expliquent les chercheurs à Cointelegraph, vient de l’utilisation persistante d’une configuration obsolète dans Spring Boot Actuator dans laquelle un endpoint de diagnostic (/heapdump) reste accessible sans authentification.
TeleMessage, à l’image de l’application Signal, propose une messagerie sécurisée, mais avec une fonctionnalité d’archivage pour répondre aux exigences de conformité réglementaire. Basée en Israël, la société a été rachetée en 2024 par l’Américain Smarsh. Elle a temporairement suspendu ses services en mai après une faille de sécurité ayant conduit au vol de fichiers à partir de l’application.
« TeleMessage affirme avoir corrigé la vulnérabilité de son côté », déclare Howdy Fisher, membre de l’équipe GreyNoise. « Cela dit, les délais de déploiement des correctifs peuvent varier selon de nombreux facteurs. »
Si les failles dans les applications ne sont malheureusement pas rares, celle affectant TeleMessage soulève des inquiétudes particulières, notamment en raison de la nature de ses utilisateurs : agences gouvernementales et grandes entreprises. On compte parmi ses clients potentiels d’anciens responsables américains comme Mike Waltz, l’agence des douanes et de la protection des frontières des États-Unis (CBP), ou encore la plateforme crypto Coinbase.
GreyNoise recommande aux utilisateurs de bloquer les adresses IP malveillantes et de désactiver ou restreindre l’accès au endpoint /heapdump. Limiter l’exposition aux points d’accès Actuator constitue également une bonne pratique.
Les vols de crypto explosent en 2025 ; des identifiants vendus à prix d’or sur le darknet
Le dernier rapport de Chainalysis sur la criminalité indique que plus de 2,17 milliards de dollars ont déjà été volés en 2025. Un rythme qui pourrait faire grimper les pertes crypto à un nouveau record.
Parmi les attaques les plus marquantes ces derniers mois : des agressions physiques visant des détenteurs de bitcoin (les “wrench attacks”), et des incidents médiatisés comme le piratage de l’exchange crypto Bybit en février.
Les tentatives de vol d’identifiants passent souvent par du phishing, des logiciels malveillants ou des techniques d’ingénierie sociale.