CISA añade la vulnerabilidad de TeleMessage a la lista KEV tras una infracción
La CISA añade la falla de TeleMessage a la lista de KEV e insta a las agencias a actuar en un plazo de tres semanas tras una filtración que expuso chats sin cifrar. ¡La aplicación israelí fue utilizada por funcionarios de Trump!
Una falla grave en TM SGNL, una aplicación de mensajería de la firma estadounidense-israelí TeleMessage, utilizada por exfuncionarios de la administración Trump, ha sido incluida en la lista de Vulnerabilidades Explotadas Conocidas (KEV) de la CISA. Esta medida surge tras los informes de una brecha que expuso comunicaciones confidenciales y datos de backend.
La Agencia de Seguridad de Infraestructura y Ciberseguridad ( CISA ) añadió CVE-2025-47729 a su catálogo de vulnerabilidades de vulnerabilidad de acceso aleatorio (KEV) esta semana. La inclusión confirma que la vulnerabilidad ha sido explotada in situ y establece un plazo de tres semanas para que las agencias federales aborden el problema.
El 5 de mayo, Hackread.com informó que TeleMessage había suspendido las operaciones de TM SGNL después de que atacantes obtuvieran acceso a los sistemas de backend y a los datos de mensajes de los usuarios. La brecha puso en duda las principales afirmaciones de seguridad de la plataforma.
El investigador de seguridad Micah Lee analizó el código fuente de la aplicación y encontró una grave vulnerabilidad en su modelo de cifrado. Si bien TeleMessage afirmó que TM SGNL utilizaba cifrado de extremo a extremo , los hallazgos de Lee sugieren lo contrario. La comunicación entre la aplicación y su punto de almacenamiento final carecía de cifrado completo, lo que permitió a los atacantes interceptar registros de chat en texto plano.
Este hallazgo planteó algunas preocupaciones serias de seguridad y privacidad dado que la aplicación había sido utilizada anteriormente por figuras de alto nivel, incluido el ex asesor de seguridad nacional Mike Waltz.
La decisión de CISA de añadir la falla a su lista KEV envía un mensaje claro a las agencias gubernamentales: el software no es seguro. Les presiona para que lo parcheen o lo desistan rápidamente.
Thomas Richards , director de prácticas de seguridad de infraestructura de Black Duck, dijo que la decisión probablemente se debió al uso del software en el gobierno:
Esta vulnerabilidad probablemente se añadió a la lista KEV debido a quién la utilizaba. Al involucrar conversaciones gubernamentales sensibles, la brecha de seguridad adquiere un nivel de riesgo aún mayor. La medida de CISA busca asegurar que las agencias sepan que no se debe confiar en este software.
Casey Ellis , fundador de Bugcrowd, agregó que la inclusión confirma la gravedad:
CISA se asegura de que las agencias federales reciban el mensaje. El hecho de que los registros no estuvieran correctamente cifrados modifica la ecuación de riesgo. Y aunque la puntuación CVSS 1.9 pueda parecer baja, aún refleja el peligro de comprometer el dispositivo que almacena esos registros.
Las agencias federales deben actuar en un plazo de tres semanas. También se recomienda a las organizaciones externas al gobierno que revisen el catálogo de KEV y consideren priorizar parches o soluciones alternativas.
La violación y la posterior inclusión en la lista de KEV han llevado a TeleMessage a un debate más amplio sobre la transparencia, los estándares de cifrado y la infraestructura de seguridad de las plataformas utilizadas en la comunicación política y gubernamental.
Para obtener más información, la entrada CVE está disponible a través de NVD y se puede acceder al catálogo KEV en el sitio web de CISA .
HackRead
