- Hackers exploram a vulnerabilidade crítica do TeleMessage (CVE-2025-48927) por meio de endpoints não autenticados do Spring Boot Actuator
- A falha no Spring Boot Actuator se relaciona a endpoints como /health e /heapdump, usados para diagnósticos
- Desde abril, pelo menos 11 IPs realizaram ataques, enquanto mais de 2.000 pesquisaram endpoints vulneráveis
Hackers tentam explorar a falha CVE‑2025‑48927 no TeleMessage, app similar ao Signal, adquirido pela Smarsh, de acordo com a empresa de inteligência de ameaças GreyNoise. Desde abril, pelo menos 11 IPs realizaram ataques, enquanto mais de 2.000 pesquisaram endpoints vulneráveis. A brecha surgiu a partir do endpoint /heapdump exposto sem autenticação, o que permite o acesso a dados sensíveis. Embora a empresa tenha afirmado ter corrigido o problema, o reconhecimento continuo por parte dos hackers expõe a gravidade desse tipo de vulnerabilidade corporativa.
Método de ataque e impacto sobre dados sigilosos e comunicação governamental
A falha no Spring Boot Actuator se relaciona a endpoints como /health e /heapdump, usados para diagnósticos. Eles continuam acessíveis publicamente em instâncias legadas. Acessando os heap dumps, hackers podem extrair dados como senhas, tokens e mensagens privadas. Relatórios anteriores mostraram que arquivos do TM SGNL continham comunicações de funcionários do governo dos EUA e da Coinbase, além de credenciais em texto.
A vulnerability in a Signal-based enterprise messaging app could expose plaintext usernames and passwords via an unauthenticated memory dump. We're seeing exploit attempts in real time. Full analysis: https://t.co/MshsQWDhIk #Cybersecurity #ThreatIntel #GreyNoise
— GreyNoise (@GreyNoiseIO) July 17, 2025
Mesmo depois de suspender serviços em maio, TeleMessage ainda enfrenta ataques. A GreyNoise identificou que 1.582 IPs buscaram especificamente o endpoint /health, o que indica uma preparação frequente dos invasores. Especialistas recomendam desativar endpoints diagnósticos ou restringi-los a IPs confiáveis, além de aplicar medidas urgentes de monitoramento.
Consequências para empresas, governos e necessidade de revisão urgente
O uso do TM SGNL por agências como Customs and Border Protection e oficiais seniores destaca a criticidade da vulnerabilidade. Apesar de não haver indicações de mensagens altamente sensíveis terem sido acessadas, o vazamento de metadados já representa um risco significativo para a segurança nacional.
Além disso, falhas como essa reforçam a urgência de avaliação constante de sistemas legados em ambientes críticos. A CISA incluiu a vulnerabilidade no catálogo KEV, exigindo correção até 22 de julho. Sem isso, órgãos federais seguem expostos.
Por fim, esse caso reforça que apps corporativos, mesmo com origem em soluções seguras, precisam de auditorias contínuas. A adoção de boas práticas de segurança protege dados sensíveis e reduz riscos de novas falhas.
