CISA adiciona vulnerabilidade TeleMessage à lista KEV após violação

A CISA adiciona uma falha no TeleMessage à lista do KEV e insta agências a agirem dentro de 3 semanas após uma violação ter exposto conversas não criptografadas. O aplicativo israelense foi usado por autoridades de Trump!

Uma falha grave no TM SGNL, ​​um aplicativo de mensagens da empresa israelense-americana TeleMessage, usado por ex-funcionários do governo Trump, agora está na lista de Vulnerabilidades Exploradas Conhecidas (KEV) da CISA. A medida ocorre após relatos de uma violação que expôs comunicações confidenciais e dados de back-end.

A Agência de Segurança Cibernética e de Infraestrutura ( CISA ) adicionou a CVE-2025-47729 ao seu catálogo KEV esta semana. A listagem confirma que a vulnerabilidade foi explorada em campo e estabelece um prazo de três semanas para que as agências federais resolvam o problema.

Em 5 de maio, o Hackread.com noticiou que a TeleMessage havia interrompido as operações da TM SGNL após invasores obterem acesso aos sistemas de back-end e aos dados de mensagens dos usuários. A violação lançou dúvidas sobre as principais alegações de segurança da plataforma.

O pesquisador de segurança Micah Lee analisou o código-fonte do aplicativo e encontrou uma falha grave em seu modelo de criptografia. Embora a TeleMessage tenha afirmado que o TM SGNL usava criptografia de ponta a ponta , as descobertas de Lee sugerem o contrário. A comunicação entre o aplicativo e seu ponto de armazenamento final não possuía criptografia completa, o que possibilitou que invasores interceptassem registros de bate-papo em texto simples.

Essa descoberta levantou sérias preocupações sobre segurança e privacidade, dado o uso anterior do aplicativo por figuras de alto escalão, incluindo o ex-conselheiro de segurança nacional Mike Waltz.

A decisão da CISA de adicionar a falha à sua lista de KEV envia uma mensagem clara às agências governamentais: o software não é seguro. Isso as pressiona a corrigi-lo ou eliminá-lo rapidamente.

Thomas Richards , diretor de práticas de segurança de infraestrutura da Black Duck, disse que a decisão provavelmente decorreu do uso do software no governo:

Esta vulnerabilidade provavelmente foi adicionada à lista KEV por causa de quem a estava utilizando. Com conversas governamentais sensíveis envolvidas, a violação assume outro nível de risco. A ação da CISA visa garantir que as agências saibam que este software não é confiável.

Casey Ellis , fundador do Bugcrowd, acrescentou que a inclusão confirma a gravidade:

A CISA está garantindo que as agências federais entendam a mensagem. O fato de os registros não terem sido criptografados corretamente altera a equação de risco. E embora a pontuação CVSS 1.9 possa parecer baixa, ela ainda reflete o perigo de comprometer o dispositivo que armazena esses registros.

As agências federais agora são obrigadas a agir em até três semanas. Organizações fora do governo também são aconselhadas a revisar o catálogo KEV e considerar priorizar patches ou soluções alternativas.

A violação e a subsequente listagem no KEV levaram a TeleMessage a uma discussão mais ampla sobre transparência, padrões de criptografia e infraestrutura de segurança de plataformas usadas em comunicação política e governamental.

Para mais informações, a entrada CVE está disponível via NVD , e o catálogo KEV pode ser acessado no site da CISA .