Intentaron iniciar sesión en seguro.telemessage.com Utilizando un par de estas credenciales y descubrieron que acababan de piratear a un usuario con una dirección de correo electrónico asociada con la aduana y la protección fronteriza de los Estados Unidos, una de las agencias que implementan la política de inmigración draconiana de Trump. CBP tiene desde entonces confirmado que era un cliente de telemessage.
Después de pasar unos minutos más cavando a través del volcado de montón, el hacker también descubrió registros de chat de texto sin formato. “Puedo leer los chats internos de Coinbase, esto es increíble”, dijo el hacker. (Coinbase no respondió a la solicitud de comentarios de Wired, pero lo hizo decir 404 medios de comunicación que “no hay evidencia de que se accediera a ninguna información confidencial del cliente de Coinbase o que las cuentas de los clientes están en riesgo, ya que Coinbase no utiliza esta herramienta para compartir contraseñas, frases de semillas u otros datos necesarios para acceder a cuentas”.
En este punto, el hacker dice que habían pasado de 15 a 20 minutos hurgando en los servidores de Telemessage, y ya habían comprometido a uno de sus clientes del gobierno federal, junto con uno de los mayores intercambios de criptomonedas del mundo.
Como descubrí de analización Código fuente de TM SGNL, aplicaciones de telemessage, como la que se ejecuta en el teléfono de Mike Waltz, supuso mensajes sin cifrar a Archive.telemessage.com (Llamo a esto el servidor de archivo), que luego reenvía los mensajes al destino final del cliente. Esto contradice el material de marketing público de Telemessage, donde afirmaron que TM SNGL utiliza “cifrado de extremo a extremo desde el teléfono móvil hasta el archivo corporativo”.
El servidor Archive está programado en Java y se construye usando Spring Boot, un marco de código abierto para crear aplicaciones Java. Spring Boot incluye un conjunto de características llamadas Actuator que ayuda a los desarrolladores a monitorear y depurar sus aplicaciones. Una de estas características es la punto final de volcado de montónque es la URL que el hacker usó para descargar volcados de montón.
Según el actuador de arranque de primavera documentación: “Dado que los puntos finales pueden contener información confidencial, se debe tener una consideración cuidadosa sobre cuándo exponerlos”. En el caso del servidor de archivo de Telemessage, los volcados de almacenamiento de almacenamiento contenían nombres de usuario, contraseñas, registros de chat sin cifrar, claves de cifrado y otra información confidencial.
Si alguien en Internet hubiera cargado la URL de volcado de montón justo cuando Mike Waltz estaba enviando mensajes de texto utilizando la aplicación TM SGNL, el archivo de volcado Heap también habría contenido sus mensajes de señal no entrelazados.
Un 2024 correo En la compañía de seguridad en la nube, el blog de Wiz enumera el “archivo de montón expuesto” como la configuración errónea común de la corriente en el actuador de arranque de primavera. “Hasta la versión 1.5 (lanzado en 2017), el punto final /Heapdump se configuró como expuesto y accesible públicamente sin autenticación por defecto. Desde entonces, en versiones posteriores el actuador de arranque de primavera ha cambiado su configuración predeterminada para exponer solo los puntos finales /salud y /información sin autenticación (estos son menos interesantes para los atacantes)”, escribió el autor. “A pesar de esta mejora, los desarrolladores a menudo deshabilitan estas medidas de seguridad para fines de diagnóstico al implementar aplicaciones para probar entornos, y este cambio de configuración aparentemente pequeño puede pasar desapercibido y, por lo tanto, persistir cuando se presenta una aplicación a la producción, lo que permite inadvertidamente que los atacantes obtengan acceso no autorizado a datos críticos”.
En un 2020 correo En el blog de tecnología global de Walmart, otro desarrollador dio una advertencia similar. “Además de /salud e información, todos los puntos finales del actuador son riesgosos de abrir a los usuarios finales porque pueden exponer volcados de aplicaciones, registros, datos de configuración y controles”, escribió el autor. “Los puntos finales del actuador tienen implicaciones de seguridad y nunca deberían estar expuestas en el entorno de producción”.
La rápida exploit de telemessage del hacker indica que el servidor de archivos estaba mal configiados. Estaba ejecutando una versión de ocho años de arranque de primavera, o alguien la había configurado manualmente para exponer el punto final de volcado de montón a Internet público.
Es por eso que tomó un hacker unos 20 minutos de pinchación antes de que se abriera, con datos confidenciales que se derramaron.
A pesar de esta vulnerabilidad crítica y otros problemas de seguridad con los productos de Telemessage, en particular, que la empresa israelí que construye los productos puede acceder a todos los registros de chat de sus clientes en texto sin formato, algunos en la administración Trump lo desplegaron al teléfono de Mike Waltz mientras se desempeñaba como asesor de seguridad nacional.
