Falha crítica no TeleMessage SIGN

Falha crítica no TeleMessage SGNL (Clone do Signal) expondo dados sensíveis

Pesquisadores identificaram a vulnerabilidade CVE‑2025‑48927 no aplicativo TeleMessage SGNL — um clone do Signal voltado à conformidade, adquirido pela Smarsh. O problema permite que qualquer atacante recupere nomes de usuário, senhas e outros dados críticos via endpoint /heapdump do Spring Boot Actuator, que estava exposto sem autenticação adequada em determinadas instalações.

Múltiplas tentativas de exploração detectadas

A GreyNoise detectou tentativas de exploração de diversas origens IPs: até 16 de julho, foram identificados pelo menos 11 IPs explorando ativamente a falha, com scans direcionados a endpoints /health e a busca por /heapdump. No total, mais de 2 000 IPs procuraram pelo endpoint vulnerável nas últimas semanas.

Natureza e impacto da vulnerabilidade

A falha permite baixar um dump completo da memória heap do Java — com potencial de até 150 MB — que pode conter credenciais, tokens e conteúdo de mensagens em texto claro. Essas exposições ocorrem mesmo em aplicações que alegam criptografia ponta a ponta, inclusive quando utilizadas por órgãos governamentais, como a Alfândega e Proteção de Fronteiras dos EUA.

Medidas imediatas e mitigação

• Atualize o Spring Boot para uma versão que restrinja endpoints do Actuator.

• Desabilite ou limite o acesso a /heapdump via firewall ou configurações de IP.

• Faça revisão completa dos endpoints do Actuator (/health, /metrics, etc.) para garantir que estão protegidos.

• Realize varreduras de logs e auditorias em busca de acessos suspeitos ao /heapdump.

• Avalie reinstalação ou aplicação de corretivos recomendados pela Smarsh conforme orientação de compliance.

Consequências para ambientes corporativos

A falha reflete o risco de usar clones de mensageiros sem validação técnica rigorosa. A exposição de dados sensíveis por meio de interfaces administrativas negligenciadas compromete a proteção de informações internas. Além disso, o fato de o endpoint estarem disponíveis sem autenticação aponta para falhas organizacionais na configuração de ambientes de conformidade.

Ações estratégicas recomendadas

Além da correção técnica, é essencial:

• Estabelecer políticas internas que limitem o uso de clones de aplicativos seguros apenas se auditados.

• Integrar scanners de configuração automatizados nos pipelines CI/CD, garantindo que endpoints administrativos não fiquem públicos.

• Treinar equipes de DevOps e segurança para gerar awareness sobre riscos de endpoints desprotegidos.

Conclusão

A falha CVE‑2025‑48927 no TeleMessage SGNL evidencia como cópias de aplicativos confiáveis podem introduzir riscos significativos quando suas interfaces administrativas não são adequadamente configuradas. A exposição do endpoint /heapdump permite vazamentos de credenciais e conteúdos em texto claro, impactando desde usuários comuns até órgãos governamentais. A resposta efetiva combina patch imediato, revisão de configurações, auditoria contínua e restrição de uso de clones sem supervisão técnica — garantindo proteção integral em ambientes sensíveis.

Referências Bibliograficas

• CaveiraTech. (18 jul. 2025). Falha em Clone do Signal. Disponível em: https://caveiratech.com/post/falha-em-clone-do-signal-1442405

• GrayNoise Intelligence. (2025). CVE‑2025‑48927 monitoring and exploitation. Relatório interno. Disponível em: https://www.greynoise.io/blog/greynoise-detects-active-exploitation-cves-black-bastas-leaked-chat-logs