Hackers estão ativamente explorando uma falha grave identificada como CVE-2025-48927 em um aplicativo considerado clone do Signal, chamado TeleMessage SGNL, comprometendo dados sensíveis como senhas e tokens de autenticação. A vulnerabilidade já é explorada em campanhas ativas e tem impacto direto em empresas que utilizam essa plataforma de comunicação para fins de conformidade.
Este artigo explica em detalhes o que é a vulnerabilidade CVE-2025-48927, como ela funciona, por que existe um “clone do Signal” no ambiente corporativo e quais os riscos para as organizações. Também abordamos as ações das agências de segurança e o que pode ser feito para se proteger.
O caso acende um alerta mais amplo sobre a confiança em soluções modificadas de aplicativos seguros, especialmente quando essas alterações ocorrem para atender a exigências regulatórias que muitas vezes enfraquecem proteções de privacidade essenciais.
O que é o TeleMessage SGNL e por que ele existe?
O TeleMessage SGNL é uma solução desenvolvida pela empresa Smarsh, que oferece uma versão modificada do popular aplicativo de mensagens Signal. Essa modificação visa atender a requisitos de conformidade regulatória, especialmente em setores como finanças, jurídico e saúde.
A proposta do TeleMessage SGNL é permitir que empresas usem uma interface de mensagens segura e moderna, mas com uma capacidade adicional: o arquivamento automático de todas as comunicações — mensagens, chamadas, anexos e metadados — para fins de auditoria, governança e cumprimento de normas legais.
Contudo, esse recurso contraria um dos princípios fundamentais do Signal original, que é a criptografia de ponta a ponta, impedindo o acesso de terceiros ao conteúdo das mensagens. O paradoxo do TeleMessage SGNL é justamente este: sacrificar parte da privacidade para alcançar a conformidade.
A falha em detalhes: Como o CVE-2025-48927 funciona?
O culpado: O endpoint /heapdump do Spring Boot Actuator
A vulnerabilidade CVE-2025-48927 está relacionada à exposição indevida do endpoint /heapdump em aplicações baseadas no Spring Boot Actuator — um módulo amplamente utilizado em aplicações Java para fornecer monitoramento e gerenciamento em tempo real.
O endpoint /heapdump serve para gerar um “instantâneo” completo da memória da aplicação. É uma ferramenta útil em ambientes de desenvolvimento ou testes, mas representa um risco enorme se for deixada acessível em produção, sem qualquer autenticação.
No caso do TeleMessage SGNL, instâncias mal configuradas estavam expondo esse endpoint publicamente, permitindo que qualquer atacante com acesso à URL realizasse o download de arquivos de heap dump.
O impacto: O que os hackers podem roubar?
Esses arquivos de heap dump são altamente sensíveis. Eles podem conter:
- Nomes de usuário e senhas em texto simples
- Tokens de autenticação
- Chaves de API
- Strings de conexão com banco de dados
- Informações de sessão e variáveis de ambiente confidenciais
Com esses dados, um atacante pode obter acesso total a sistemas corporativos, abrir caminho para movimentações laterais e até exfiltrar mais dados, causando prejuízos financeiros e danos reputacionais sérios.
Hackers em ação: A exploração ativa da vulnerabilidade
A empresa de inteligência em ameaças GreyNoise detectou atividade de exploração ativa da CVE-2025-48927, com diversos IPs tentando acessar endpoints /heapdump em busca de instâncias vulneráveis.
Esse comportamento indica uma campanha coordenada, já que a varredura automatizada por endpoints do Spring Boot Actuator é uma técnica comum em ataques que antecedem explorações maiores. Em muitos casos, trata-se de bots identificando alvos vulneráveis para, posteriormente, lançar ataques manuais ou automatizados de acesso indevido.
Um histórico preocupante e a resposta da CISA
O TeleMessage SGNL não é estranho a controvérsias. Em maio de 2025, uma falha semelhante foi relatada em outra instância corporativa da ferramenta, envolvendo vazamento de registros sensíveis durante um processo de sincronização mal implementado.
A descoberta do CVE-2025-48927 levou a sua rápida inclusão no catálogo KEV (Known Exploited Vulnerabilities) da CISA — a Agência de Segurança Cibernética e de Infraestrutura dos EUA. A inclusão neste catálogo significa que a vulnerabilidade é confirmadamente explorada por agentes maliciosos e, portanto, deve ser corrigida com urgência.
A CISA estabeleceu um prazo para que agências federais norte-americanas apliquem os patches necessários até 22 de julho de 2025, destacando a severidade do problema.
Conclusão: Como se proteger e quais as lições aprendidas?
A vulnerabilidade CVE-2025-48927 deixa uma lição clara: mesmo ferramentas voltadas à segurança e conformidade podem introduzir riscos críticos se mal configuradas. Endpoints de diagnóstico como /heapdump devem ser sempre protegidos por autenticação, e o acesso deve ser restrito a redes internas.
Para administradores de sistemas, a orientação é:
- Desabilitar ou restringir endpoints sensíveis como os do Spring Boot Actuator
- Auditar periodicamente todos os serviços externos e soluções de terceiros
- Aplicar patches de segurança assim que divulgados
Para o público geral, o episódio serve como alerta sobre os riscos de utilizar versões modificadas de aplicativos originalmente projetados para garantir privacidade total. Em ambientes corporativos, onde a conformidade se sobrepõe à criptografia de ponta a ponta, é essencial avaliar cuidadosamente o equilíbrio entre segurança e requisitos regulatórios.
