(https://external-content.duckduckgo.com/iu/?u=https%3A%2F%2Fk1im.com%2Fwp-content%2Fuploads%2F2022%2F05%2FSmarsh-TeleMessage-1.png&f=1&nofb=1&ipt=47e5e3f05c705d4e6e1f1dd8d5672f2f4b6191bbcd6392892577a8f231bdbb33)
Se ha descubierto que TeleMessage SGNL, un clon israelí de la aplicación Signal, utilizado por agencias gubernamentales estadounidenses y empresas reguladas, se ejecuta con una configuración obsoleta que expone datos internos confidenciales a internet, sin necesidad de iniciar sesión.
La causa principal del problema radica en que algunas implementaciones de TeleMessage SGNL utilizan versiones antiguas de Spring Boot, un framework basado en Java. Estas versiones dejan expuesto por defecto un punto final de diagnóstico llamado /heapdump.
Cuando no está bloqueado, este punto final devuelve una instantánea de memoria completa de la aplicación, con un peso aproximado de 150 MB. Estos volcados pueden contener nombres de usuario, contraseñas, detalles de sesión y otros datos que nunca deberían ser públicos.
Según investigadores de ciberseguridad de GrayNoise, quienes identificaron esta vulnerabilidad y compartieron sus detalles, aunque las versiones más recientes de Spring Boot deshabilitan esta configuración por defecto, las instancias de TeleMessage seguían ejecutando la configuración insegura hasta el 5 de mayo de 2025.
La vulnerabilidad, identificada como CVE-2025-48927, se añadió al catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el 14 de julio, lo que también sugiere que ya se están produciendo ataques reales.
Según GreyNoise, los atacantes no han perdido el tiempo. Hasta el 16 de julio, se habían registrado al menos 11 IP que intentaban explotar la falla directamente. No se trata de pings aleatorios, sino de intentos específicos de recuperar la memoria del montón de implementaciones SGNL de TeleMessage expuestas.
El análisis no termina ahí. En los últimos 90 días, más de 2000 IP han sondeado los endpoints de Spring Boot Actuator en general. Más de 1500 IP se dirigieron al endpoint /health, que los atacantes suelen utilizar para comprobar si una aplicación está basada en Spring Boot y si está mal configurada. Este tipo de análisis suele indicar que podría producirse una explotación más específica.
GreyNoise ha creado una etiqueta de seguimiento específica para esta actividad. Esta etiqueta identifica el comportamiento de escaneo específico de las instancias SGNL de TeleMessage que se ejecutan con el endpoint /heapdump vulnerable expuesto.
TeleMessage SGNL y Problemas de Ciberseguridad
Las fallas de seguridad pueden surgir en cualquier plataforma, pero el problema con TeleMessage es más grave. Este servicio, diseñado para proteger comunicaciones sensibles y utilizado por agencias gubernamentales y organizaciones empresariales, quedó vulnerable debido a configuraciones obsoletas.
Cuando se trata de una plataforma que vende comunicaciones seguras, este tipo de configuraciones incorrectas pueden dañar más que solo los sistemas. Sin embargo, el daño a la reputación no es nuevo en TeleMessage. En mayo de 2025, la plataforma sufrió una brecha masiva después de que un hacker anónimo irrumpiera en sus sistemas. El atacante accedió a la infraestructura de backend y a los mensajes privados de los usuarios, lo que obligó a la empresa a desconectar su sitio web.
Apenas unos días después, el 13 de mayo, la CISA añadió CVE-2025-47729, la vulnerabilidad responsable de esa brecha, a su lista de Vulnerabilidades Explotadas Conocidas (KEV). La situación empeoró. Distributed Denial of Secrets (DDoSecrets), una organización sin fines de lucro conocida por publicar conjuntos de datos filtrados, archivó e indexó todo el conjunto de datos robados en su sitio web. Ese archivo contenía 410 gigabytes de datos confidenciales obtenidos de la filtración.
Directiva Operacional Vinculante de CISA
Bajo su Directiva Operacional Vinculante, CISA ha instruido a todas las agencias federales a aplicar los parches disponibles o a dejar de usar el software afectado antes del 22 de julio de 2025. Si bien la directiva solo aplica a los sistemas federales, es un firme recordatorio para cualquier organización que utilice TeleMessage SGNL para que actúe con rapidez.
Hasta que se apliquen los parches confirmados, la estrategia más segura es restringir el acceso o deshabilitar temporalmente la aplicación en entornos que manejan comunicaciones sensibles. No obstante, los investigadores instan a las organizaciones que utilizan TeleMessage o Spring Boot para servicios internos a que se tomen esto en serio y:
Revisar todas las vulnerabilidades de los endpoints del Actuador.
Deshabilitar o restringir el acceso al endpoint /heapdump inmediatamente.
Bloquear las IP marcadas por GreyNoise que estén investigando esta vulnerabilidad.
Actualizar a una versión compatible de Spring Boot que utilice configuraciones predeterminadas más seguras.
Fuente:
HackRead
https://hackread.com/telemessage-sgnl-flaw-actively-exploited-by-attackers/