Falha em Clone do Signal

18 de Julho de 2025

Pesquisadores estão observando tentativas de exploração da vulnerabilidade CVE-2025-48927 no aplicativo TeleMessage SGNL, que permite a recuperação de nomes de usuário, senhas e outros dados sensíveis.

TeleMessage SGNL é um aplicativo clone do Signal, agora de propriedade da Smarsh, uma empresa focada em conformidade que oferece soluções de comunicação baseadas na nuvem ou em instalações locais para várias organizações.

A empresa de monitoramento de ameaças GreyNoise observou múltiplas tentativas de explorar a CVE-2025-48927 , provavelmente por diferentes atores de ameaças.

"Até 16 de julho, a GreyNoise observou 11 IPs tentando explorar a CVE-2025-48927 ", relata a GreyNoise.

"O comportamento de reconhecimento relacionado está em andamento.

Nossa telemetria mostra varreduras ativas por endpoints do Spring Boot Actuator, um precursor potencial para identificar sistemas afetados pela CVE-2025-48927 ."

Segundo a GreyNoise, mais de dois mil IPs escanearam por endpoints do Spring Boot Actuator nos últimos meses, pouco mais de 75% deles visando especificamente os endpoints '/health'.

A vulnerabilidade CVE-2025-48927 é causada pela exposição do endpoint '/heapdump' do Spring Boot Actuator sem autenticação.

O TeleMessage abordou o problema, mas algumas instalações locais ainda estão vulneráveis.

Ao utilizar configurações desatualizadas do Spring Boot que não restringem o acesso aos endpoints de diagnóstico, a falha permite que um atacante baixe um dump completo da memória heap do Java de aproximadamente 150MB, que pode conter nomes de usuários, senhas, tokens e outros dados sensíveis em texto puro.

Para se defender contra esses ataques, recomenda-se desabilitar ou restringir o acesso ao endpoint /heapdump apenas para faixas de IPs confiáveis e limitar a exposição de todos os endpoints do Actuator tanto quanto possível.

O aplicativo TeleMessage SGNL é projetado para fornecer comunicação criptografada com arquivamento integrado, de modo que todos os chats, chamadas e anexos sejam automaticamente armazenados para conformidade, auditoria ou manutenção de registros.

Essas afirmações foram contestadas por pesquisas anteriores dizendo que a criptografia de ponta a ponta não é mantida e dados sensíveis, incluindo mensagens, são armazenados em texto puro.

Isso foi exposto em maio de 2025, quando um hacker acessou um endpoint de diagnóstico e baixou credenciais e conteúdo arquivado.

O evento desencadeou preocupações sobre a segurança nacional nos EUA, após revelações de que o produto estava sendo usado pela Alfândega e Proteção de Fronteiras e oficiais, incluindo Mike Waltz.

A CVE-2025-48927 foi divulgada em maio e a CISA a adicionou ao catálogo de Vulnerabilidades Conhecidas Exploradas (KEV) em 1º de julho, solicitando que todas as agências federais apliquem mitigação até 22 de julho.

A agência também listou a CVE-2025-48928 , uma falha no SGNL onde um aplicativo JSP expõe um dump de memória contendo senhas enviadas via HTTP para usuários não autorizados.

Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...