La CISA aggiunge la vulnerabilità TeleMessage all'elenco KEV a seguito della violazione

La CISA aggiunge la falla di TeleMessage all'elenco KEV e sollecita le agenzie ad agire entro 3 settimane dalla violazione che ha reso pubbliche chat non crittografate. L'app israeliana è stata utilizzata da funzionari di Trump!

Una grave falla in TM SGNL, ​​un'app di messaggistica della società statunitense-israeliana TeleMessage utilizzata da ex funzionari dell'amministrazione Trump, è ora inclusa nell'elenco delle vulnerabilità note sfruttate (KEV) della CISA. La mossa segue le segnalazioni di una violazione che ha esposto comunicazioni sensibili e dati di back-end.

La Cybersecurity and Infrastructure Security Agency ( CISA ) ha aggiunto questa settimana la vulnerabilità CVE-2025-47729 al suo catalogo KEV. L'inserimento conferma che la vulnerabilità è stata sfruttata in natura e impone alle agenzie federali un termine di tre settimane per affrontare il problema.

Il 5 maggio, Hackread.com ha segnalato che TeleMessage aveva interrotto le operazioni di TM SGNL dopo che gli aggressori avevano ottenuto l'accesso ai sistemi back-end e ai dati dei messaggi degli utenti. La violazione ha messo in dubbio le principali affermazioni sulla sicurezza della piattaforma.

Il ricercatore di sicurezza Micah Lee ha analizzato il codice sorgente dell'app e ha scoperto una grave lacuna nel suo modello di crittografia. Mentre TeleMessage affermava che TM SGNL utilizzava la crittografia end-to-end , i risultati di Lee suggeriscono il contrario. La comunicazione tra l'app e il suo punto di archiviazione finale non era completamente crittografata, il che ha aperto la strada agli aggressori per intercettare i log delle chat in chiaro.

Questa scoperta ha sollevato seri problemi di sicurezza e privacy, dato che in passato l'app è stata utilizzata da personaggi di alto livello, tra cui l'ex consigliere per la sicurezza nazionale Mike Waltz.

La decisione della CISA di aggiungere la falla alla sua lista KEV invia un messaggio chiaro alle agenzie governative: il software non è sicuro. Le spinge a correggerlo o a eliminarlo rapidamente.

Thomas Richards , direttore delle pratiche di sicurezza delle infrastrutture presso Black Duck, ha affermato che la decisione è probabilmente dovuta all'uso del software in ambito governativo:

Questa vulnerabilità è stata probabilmente aggiunta all'elenco KEV a causa di chi la stava utilizzando. Considerando che sono coinvolte conversazioni governative delicate, la violazione assume un ulteriore livello di rischio. L'azione della CISA mira a garantire che le agenzie sappiano che non ci si può fidare di questo software.

Casey Ellis , fondatore di Bugcrowd, ha aggiunto che l'inclusione conferma la gravità:

La CISA si sta assicurando che le agenzie federali recepiscano il messaggio. Il fatto che i registri non siano stati crittografati correttamente modifica l'equazione del rischio. E sebbene il punteggio CVSS 1.9 possa sembrare basso, riflette comunque il pericolo di compromettere il dispositivo che memorizza tali registri.

Le agenzie federali sono ora tenute ad agire entro tre settimane. Si consiglia inoltre alle organizzazioni esterne al governo di consultare il catalogo KEV e di valutare la priorità di patch o soluzioni alternative.

La violazione e la successiva quotazione in borsa di KEV hanno spinto TeleMessage al centro di un dibattito più ampio sulla trasparenza, sugli standard di crittografia e sull'infrastruttura di sicurezza delle piattaforme utilizzate nelle comunicazioni politiche e governative.

Per maggiori informazioni, la voce CVE è disponibile tramite NVD , mentre il catalogo KEV è accessibile sul sito web CISA .