Selama yang baru rapat kabinet, Presiden Donald Trump Lalu Penasihat Keamanan Nasional, Mike Waltzpasti bosan. Rupanya tidak menyadari fotografer di belakangnya, dia tertangkap Dengan sembuh memeriksa pesan sinyalnya di bawah tabel.
Hanya dia yang tidak menggunakan pejabat itu Aplikasi sinyalyang secara luas dianggap sebagai standar emas dari aplikasi pesan terenkripsi. Dia sebenarnya menggunakan klon sinyal yang disebut sinyal telemessage, atau TM Sgnl. Aplikasi ini, yang dibuat oleh Telemessage (yang baru -baru ini diakuisisi oleh Smarsh), bekerja dengan cara yang hampir persis sama dengan sinyal, kecuali bahwa itu juga mengarsipkan salinan semua pesan yang melewatinya, nyaring Semua jaminan keamanannya.
Dua hari setelah foto Waltz diterbitkan, sebuah sumber anonim mengatakan kepada saya bahwa mereka telah meretas telemessage. “Saya akan mengatakan seluruh proses memakan waktu sekitar 15 hingga 20 menit,” kata peretas itu, ketika Joseph Cox dan saya dilaporkan di 404 media. “Itu tidak banyak usaha sama sekali.” Perwakilan dari Telemessage dan Smarsh tidak menanggapi permintaan komentar.
Eksploitasi yang digunakan peretas sangat sederhana. Pada saat itu, kami memilih untuk tidak mempublikasikan detail tentang hal itu karena akan sangat mudah bagi orang lain untuk ditiru. Sejak itu, telemessage telah sementara tergantung Semua layanan, yang sekarang mengapa WIRED dapat berbagi dengan tepat bagaimana peretasan ini terjadi tanpa mempertaruhkan data pribadi siapa pun.
“Saya pertama kali melihat panel admin Secure.telemessage.com dan memperhatikan bahwa mereka hashing kata sandi ke MD5 di sisi klien, sesuatu yang meniadakan manfaat keamanan dari hashing kata sandi, karena hash secara efektif menjadi kata sandi, ”kata peretas itu. (Hashing adalah cara yang secara kriptografis mengaburkan kata sandi yang disimpan pada suatu sistem, dan MD5 adalah versi yang tidak memadai dari algorith yang digunakan untuk melakukan so. dilaporkan Tampaknya panel admin ini mengekspos alamat email, kata sandi, nama pengguna, dan nomor telepon kepada publik.
Hashing kata sandi yang lemah, dan fakta bahwa situs telemessage diprogram dengan JSP-teknologi awal era 2000-an untuk membuat aplikasi web di Java-memberi peretas “kesan bahwa keamanan mereka pasti buruk.” Berharap untuk menemukan file JSP yang rentan, peretas kemudian digunakan feroxbusteralat yang dapat dengan cepat menemukan sumber daya yang tersedia untuk umum di situs web, di Secure.telemessage.com.
Peretas juga menggunakan feroxbuster di archive.telemessage.comdomain lain yang digunakan oleh telemessage, yang merupakan tempat mereka menemukan URL yang rentan, yang berakhir /heapdump.
Ketika mereka memuat URL ini, server merespons dengan dump java heap, yang merupakan file sekitar 150-mb yang berisi snapshot dari memori server pada saat URL dimuat.
Peretas mengatakan mereka “tahu dari pengalaman masa lalu bahwa tumpukan dump dari server web” akan mencakup “tubuh” permintaan HTTP, mereka berkata, “Dan ini mungkin termasuk kredensial pengguna yang masuk.” Dan untuk TM SGNL, mereka melakukannya. Dengan mengunduh tumpukan tumpukan dan kemudian mencari “kata sandi,” peretas dapat melihat nama pengguna dan kata sandi pengguna acak.
Mereka mencoba masuk Secure.telemessage.com Menggunakan sepasang kredensial ini dan menemukan bahwa mereka baru saja meretas pengguna dengan alamat email yang terkait dengan adat istiadat AS dan perlindungan perbatasan, salah satu lembaga yang menerapkan kebijakan imigrasi kejam Trump. CBP telah sejak itu dikonfirmasi bahwa itu adalah pelanggan telemessage.
Setelah menghabiskan beberapa menit lagi menggali tumpukan tumpukan, peretas juga menemukan log obrolan plaintext. “Saya bisa membaca obrolan internal Coinbase, ini luar biasa,” kata peretas itu. (Coinbase tidak menanggapi permintaan WIRED untuk memberikan komentar, tetapi memang memberi tahu 404 Media bahwa “Tidak ada bukti yang ada informasi pelanggan yang sensitif diakses atau bahwa akun pelanggan mana pun berisiko, karena Coinbase tidak menggunakan alat ini untuk berbagi kata sandi, frasa benih, atau data lain yang diperlukan untuk mengakses akun.”)
Pada titik ini, peretas mengatakan mereka telah menghabiskan 15 hingga 20 menit menusuk server Telemessage, dan telah mengkompromikan salah satu pelanggan pemerintah federal mereka, bersama dengan salah satu pertukaran cryptocurrency terbesar di dunia.
Seperti yang saya temukan dari menganalisis Kode Sumber TM SGNL, Aplikasi Telemessage – seperti yang berjalan di ponsel Mike Waltz – yang diunggah pesan yang tidak terenkripsi archive.telemessage.com (Saya menyebutnya server arsip), yang kemudian meneruskan pesan ke tujuan akhir pelanggan. Ini bertentangan dengan materi pemasaran publik Telemessage, di mana mereka mengklaim TM SNGL menggunakan “enkripsi ujung ke ujung dari ponsel hingga ke arsip perusahaan.”
Server arsip diprogram di Java dan dibangun menggunakan Spring Boot, kerangka kerja open source untuk membuat aplikasi Java. Spring Boot mencakup serangkaian fitur yang disebut Actuator yang membantu pengembang memantau dan men -debug aplikasi mereka. Salah satu fitur ini adalah Tumpukan titik akhir dumpyang merupakan url peretas yang digunakan untuk mengunduh heap dumps.
Menurut Spring Boot Actuator dokumentasi: “Karena titik akhir mungkin berisi informasi sensitif, pertimbangan yang cermat harus diberikan kapan harus mengeksposnya.” Dalam kasus server arsip Telemessage, tumpukan dump berisi nama pengguna, kata sandi, log obrolan yang tidak terenkripsi, kunci enkripsi, dan informasi sensitif lainnya.
Jika ada orang di internet yang memuat URL URL HEAP tepat karena Mike Waltz mengirim SMS menggunakan aplikasi TM SGNL, file dump heap akan berisi pesan sinyal yang tidak terenkripsi juga.
A 2024 pos Di Cloud Security Company Wiz mencantumkan “file heapdump terbuka” sebagai salah konfigurasi umum nomor satu di Spring Boot Actuator. “Hingga Versi 1.5 (dirilis pada tahun 2017), titik akhir /heapdump dikonfigurasi sebagai terbuka secara publik dan dapat diakses tanpa otentikasi secara default. Sejak itu, dalam versi selanjutnya Spring Boot Actuator telah mengubah konfigurasi defaultnya untuk mengekspos hanya / /info endpoint tanpa otentikasi (ini kurang menarik untuk penyerang),” penulisnya. “Terlepas dari peningkatan ini, pengembang sering menonaktifkan langkah -langkah keamanan ini untuk tujuan diagnostik ketika menggunakan aplikasi untuk menguji lingkungan, dan perubahan konfigurasi yang tampaknya kecil ini mungkin tetap tidak diketahui dan dengan demikian bertahan ketika aplikasi didorong ke produksi, secara tidak sengaja memungkinkan penyerang untuk mendapatkan akses yang tidak sah ke data kritis.”
Di tahun 2020 pos Di blog teknologi global Walmart, pengembang lain memberikan peringatan serupa. “Terlepas dari /kesehatan dan /info, semua titik akhir aktuator berisiko untuk membuka pengguna akhir karena mereka dapat mengekspos dump aplikasi, log, data konfigurasi, dan kontrol,” tulis penulis. “Titik akhir aktuator memiliki implikasi keamanan dan tidak boleh diekspos di lingkungan produksi.”
Eksploitasi telemessage cepat peretas menunjukkan bahwa server arsip salah konfigurasi. Entah menjalankan Spring Boot versi delapan tahun, atau seseorang telah mengonfigurasinya secara manual untuk mengekspos heap dump endpoint ke internet publik.
Inilah sebabnya mengapa butuh peretas sekitar 20 menit dorongan sebelum retak terbuka, dengan data sensitif tumpah.
Terlepas dari kerentanan kritis ini dan masalah keamanan lainnya dengan produk -produk Telemessage – terutama, perusahaan Israel yang membangun produk dapat mengakses semua log obrolan pelanggannya di Plaintext – seseorang di Administrasi Trump menyebarkannya ke ponsel Mike Waltz saat ia melayani sebagai penasihat keamanan nasional.
