CISA inclui vulnerabilidade da TeleMessage na lista KEV após breach

São Paulo — InkDesign News — A Cybersecurity and Infrastructure Security Agency (CISA) adicionou uma grave vulnerabilidade ao seu catálogo de Vulnerabilidades Conhecidas e Exploitadas (KEV) após a exposição de comunicações não criptografadas em um aplicativo de mensagens, em uso por ex-oficiais da administração Trump.

Incidente e vulnerabilidade

Recentemente, a CISA incluiu a vulnerabilidade CVE-2025-47729 em seu catálogo KEV. Essa falha foi associada ao aplicativo TM SGNL, desenvolvido pela empresa israelense TeleMessage. O problema surgiu depois que um ataque à plataforma levou à exposição de chats sensíveis e dados de backend, colocando em xeque as alegações de segurança do aplicativo. O pesquisador de segurança Micah Lee analisou o código-fonte do aplicativo e revelou um sério erro no modelo de criptografia. Embora a TeleMessage afirme que o TM SGNL utilizava “end-to-end encryption” (“criptografia de ponta a ponta”), Lee constatou que a comunicação entre o aplicativo e seu ponto de armazenamento final não possuía criptografia total, permitindo que invasores interceptassem logs de chat em texto não criptografado.

Impacto e resposta

O acesso não autorizado aos sistemas da TeleMessage levantou preocupações significativas em relação à segurança e à privacidade, especialmente considerando o uso do aplicativo por figuras de alto escalão, como o ex-conselheiro de segurança nacional Mike Waltz. A inclusão da vulnerabilidade na lista da CISA visa pressionar as agências governamentais a corrigirem ou abandonarem rapidamente o uso do software. Thomas Richards, Diretor da Prática de Segurança de Infraestrutura da Black Duck, mencionou a gravidade do caso:

“Essa vulnerabilidade foi provavelmente adicionada à lista KEV por causa de quem a estava utilizando. Com conversas governamentais sensíveis envolvidas, a violação ganha outro nível de risco.”
(“This vulnerability was probably added to the KEV list because of who was using it. With sensitive government conversations involved, the breach takes on another level of risk.”)

— Thomas Richards, Diretor, Black Duck

Mitigações recomendadas

Agências federais foram instruídas a agir dentro de um prazo de três semanas. Sugere-se que organizações fora do governo também revisem o catálogo KEV e priorizem patches ou soluções alternativas. A falha na criptografia empregada reduz a confiança no sistema, e Casey Ellis, fundador da Bugcrowd, sinalizou a importância de medidas imediatas:

“A CISA está garantindo que as agências federais tenham a mensagem. O fato de que os logs não estavam devidamente criptografados altera a equação de risco.”
(“CISA is making sure federal agencies got the message. The fact that the logs weren’t properly encrypted changes the risk equation.”)

— Casey Ellis, Fundador, Bugcrowd

Apesar da gravidade da situação, medidas de patching rápidas e a adoção de melhores práticas de segurança podem mitigar riscos futuros. As discussões sobre padrões de criptografia e a integridade das plataformas usadas em comunicações governamentais ganham destaque com este incidente.

Fonte: (Hack Read – Segurança Cibernética)