Investigadores de segurança alertam para tentativas de exploração ativas de uma vulnerabilidade crítica na aplicação TeleMessage SGNL. A falha, identificada como CVE-2025-48927, permite que atacantes acedam a nomes de utilizador, palavras-passe e outros dados confidenciais dos utilizadores.
A TeleMessage SGNL é uma aplicação baseada no popular Signal, agora detida pela Smarsh, uma empresa focada em soluções de comunicação e conformidade para diversas organizações, seja na nuvem ou em instalações locais.
O que é a vulnerabilidade CVE-2025-48927?
A vulnerabilidade é causada pela exposição do endpoint /heapdump do Spring Boot Actuator sem a devida autenticação. Embora a TeleMessage já tenha corrigido o problema, algumas instalações locais da aplicação permanecem vulneráveis.
Quando são utilizadas configurações desatualizadas do Spring Boot que não restringem o acesso a estes endpoints de diagnóstico, a falha permite que um atacante descarregue um dump completo da memória heap Java. Este ficheiro, com cerca de 150MB, pode conter informações sensíveis em texto simples, incluindo credenciais de acesso, tokens de autenticação e outros dados privados.
Exploração ativa e em larga escala
A empresa de monitorização de ameaças GreyNoise reportou ter observado múltiplas tentativas de exploração da vulnerabilidade, provavelmente por diferentes grupos de hackers. A 16 de julho, a empresa já tinha registado atividade a partir de 11 endereços IP distintos.
A par da exploração direta, a GreyNoise indica que está a decorrer uma vasta campanha de reconhecimento. Nos últimos meses, mais de dois mil IPs realizaram varreduras por endpoints do Spring Boot Actuator, um passo precursor para identificar sistemas vulneráveis à falha CVE-2025-48927. Cerca de 75% destas tentativas visaram especificamente o endpoint /health.
Um historial de problemas de segurança
A aplicação TeleMessage SGNL foi concebida para oferecer comunicação encriptada com um sistema de arquivo integrado, permitindo que todas as conversas, chamadas e anexos sejam armazenados para fins de conformidade ou auditoria. No entanto, estas garantias de segurança já tinham sido postas em causa. Investigações anteriores revelaram que a encriptação de ponta a ponta não era mantida e que dados sensíveis, incluindo mensagens, eram armazenados em texto simples.
Este problema veio a público em maio de 2025, quando um hacker acedeu a um endpoint de diagnóstico e conseguiu descarregar credenciais e conteúdos arquivados. O incidente levantou preocupações de segurança nacional nos EUA, após se saber que o produto era utilizado por funcionários da Alfândega e Proteção de Fronteiras, incluindo o congressista Mike Waltz.
A vulnerabilidade CVE-2025-48927 foi oficialmente divulgada em maio e, a 1 de julho, a CISA (Agência de Segurança Cibernética e de Infraestrutura dos EUA) adicionou-a ao seu catálogo de vulnerabilidades conhecidas e exploradas (KEV), exigindo que todas as agências federais aplicassem mitigações até 22 de julho.
Como se proteger
Para se defender contra estes ataques, a principal recomendação é desativar ou restringir o acesso ao endpoint /heapdump, permitindo-o apenas a partir de endereços IP de confiança. Adicionalmente, sugere-se limitar ao máximo a exposição de todos os endpoints do Actuator.
A CISA listou também uma segunda falha relacionada, a CVE-2025-48928, que afeta a aplicação SGNL ao expor um dump de memória com palavras-passe enviadas por HTTP a utilizadores não autorizados.
Aplicações TugaTech
Discord do TugaTech
RSS do TugaTech
Speedtest Tugatech
Host TugaTech