CISA dodaje lukę w zabezpieczeniach TeleMessage do listy KEV po naruszeniu

CISA dodaje lukę TeleMessage do listy KEV, wzywa agencje do działania w ciągu 3 tygodni po tym, jak naruszenie ujawniło niezaszyfrowane czaty. Izraelska aplikacja była używana przez urzędników Trumpa!

Poważna wada w TM SGNL, ​​aplikacji do przesyłania wiadomości amerykańsko-izraelskiej firmy TeleMessage używanej przez byłych urzędników administracji Trumpa, trafiła teraz na listę znanych luk wykorzystywanych przez CISA (KEV). Ruch ten następuje po doniesieniach o naruszeniu, które ujawniło poufne komunikaty i dane zaplecza.

Cybersecurity and Infrastructure Security Agency ( CISA ) dodała CVE-2025-47729 do swojego katalogu KEV w tym tygodniu. Wpis potwierdza, że ​​luka została wykorzystana w praktyce i wyznacza trzytygodniowy termin dla agencji federalnych na zajęcie się tym problemem.

5 maja Hackread.com poinformował , że TeleMessage wstrzymał działanie TM SGNL po tym, jak atakujący uzyskali dostęp do systemów zaplecza i danych wiadomości użytkowników. Wyciek danych rzucił cień na podstawowe twierdzenia dotyczące bezpieczeństwa platformy.

Badacz ds. bezpieczeństwa Micah Lee przeanalizował kod źródłowy aplikacji i odkrył poważną lukę w jej modelu szyfrowania. Podczas gdy TeleMessage stwierdził, że TM SGNL używa szyfrowania typu end-to-end , ustalenia Lee sugerują co innego. Komunikacja między aplikacją a jej końcowym punktem przechowywania danych nie była w pełni szyfrowana, co otworzyło atakującym drzwi do przechwytywania dzienników czatów w postaci zwykłego tekstu.

Odkrycie to wzbudziło poważne obawy dotyczące bezpieczeństwa i prywatności, biorąc pod uwagę fakt, że z aplikacji korzystały w przeszłości osobistości wysokiego szczebla, w tym były doradca ds. bezpieczeństwa narodowego Mike Waltz.

Decyzja CISA o dodaniu luki do listy KEV wysyła jasny komunikat do agencji rządowych: oprogramowanie nie jest bezpieczne. Wywiera na nie presję, aby szybko je załatały lub porzuciły.

Thomas Richards , dyrektor ds. bezpieczeństwa infrastruktury w Black Duck, powiedział, że decyzja prawdopodobnie wynikała z wykorzystania oprogramowania w administracji publicznej:

„Ta luka została prawdopodobnie dodana do listy KEV ze względu na to, kto jej używał. W przypadku poufnych rozmów rządowych naruszenie bezpieczeństwa wiąże się z kolejnym poziomem ryzyka. Działanie CISA ma na celu upewnienie się, że agencje wiedzą, że temu oprogramowaniu nie należy ufać”.

Casey Ellis , założyciel Bugcrowd, dodał, że uwzględnienie tej informacji potwierdza powagę sytuacji:

„CISA upewnia się, że agencje federalne otrzymały wiadomość. Fakt, że logi nie zostały prawidłowo zaszyfrowane, zmienia równanie ryzyka. I chociaż wynik CVSS 1.9 może wydawać się niski, nadal odzwierciedla niebezpieczeństwo naruszenia bezpieczeństwa urządzenia przechowującego te logi”.

Agencje federalne są teraz zobowiązane do działania w ciągu trzech tygodni. Organizacje spoza rządu są również proszone o przejrzenie katalogu KEV i rozważenie nadania priorytetu łatkom lub alternatywnym rozwiązaniom.

Naruszenie bezpieczeństwa i późniejsze umieszczenie firmy na liście KEV skłoniły TeleMessage do szerszej dyskusji na temat przejrzystości, standardów szyfrowania i infrastruktury bezpieczeństwa platform wykorzystywanych w komunikacji politycznej i rządowej.

Więcej informacji można uzyskać we wpisie CVE za pośrednictwem NVD , a do katalogu KEV można uzyskać dostęp na stronie internetowej CISA .