São Paulo — InkDesign News — A TeleMessage SGNL, um clone feito em Israel do aplicativo Signal utilizado por agências governamentais dos EUA e empresas reguladas, foi detectada operando com uma configuração desatualizada que expõe dados sensíveis internos à internet, sem necessidade de login.
Incidente e vulnerabilidade
A vulnerabilidade identificada está relacionada ao uso de versões mais antigas do Spring Boot, um framework baseado em Java. Essas versões deixam um endpoint de diagnóstico chamado /heapdump exposto por padrão. Quando desbloqueado, esse endpoint retorna um instantâneo completo da memória do aplicativo, pesando cerca de 150MB. Esses dumps podem conter nomes de usuários, senhas, detalhes de sessão e outras informações que nunca deveriam ser públicas. O problema foi classificado como CVE-2025-48927 e adicionado ao catálogo da Cybersecurity and Infrastructure Security Agency (CISA) dos EUA em 14 de julho de 2025, indicando que ataques no mundo real já estão em andamento.
Impacto e resposta
Pesquisadores de segurança da GrayNoise, que identificaram essa exploração, relataram que, até 16 de julho, pelo menos 11 endereços IP foram registrados tentando explorar a falha diretamente. Essa atividade se configura como tentativas específicas de recuperar a memória heap de implementações vulneráveis do TeleMessage SGNL. Nos últimos 90 dias, mais de 2.000 IPs sondaram endpoints do Spring Boot Actuator, com mais de 1.500 IPs focando no endpoint /health, frequentemente utilizado por atacantes para verificar se um aplicativo foi construído com Spring Boot e potencialmente mal configurado. Essa varredura indica que tentativas de exploração mais direcionadas podem seguir.
“A segurança de plataformas que vendem comunicação segura é crucial, mas erros de configuração podem causar danos significativos a sistemas e reputações.”
(“Security flaws can surface in any platform, but the issue with TeleMessage is more serious.”)— Especialista em Segurança, GrayNoise
Mitigações recomendadas
Com base nas diretrizes da CISA, que instruiu todas as agências federais a aplicar patches ou descontinuar o uso de software afetado até 22 de julho de 2025, recomenda-se que qualquer organização que utilize o TeleMessage SGNL aja rapidamente. Entre as medidas a serem adotadas, estão:
- Rever toda a exposição dos endpoints do Actuator.
- Desativar ou restringir o acesso ao endpoint /heapdump imediatamente.
- Bloquear IPs identificados pela GrayNoise que estão sondando por essa vulnerabilidade.
- Atualizar para uma versão suportada do Spring Boot, que utiliza configurações padrão mais seguras.
“As organizações devem tratar essa vulnerabilidade com seriedade e implementar medidas de proteção rigorosas.”
(“Researchers are urging organisations using TeleMessage or Spring Boot for internal services to take this seriously.”)— Especialista em Segurança, GrayNoise
Em conclusão, enquanto os riscos de exploração permanecem elevados, a aplicação de patches e a adoção de práticas de segurança recomendadas são essenciais para mitigar vulnerabilidades futuras e proteger dados sensíveis.
Fonte: Hack Read – Segurança Cibernética
