CISA 将臭名昭著的 TeleMessage 漏洞添加到 KEV 列表中

TeleMessage TM SGNL 是 Signal 消息应用程序的一个版本，它包含一个隐藏的功能漏洞，其中存档后端保存着来自 TM SGNL 应用程序用户的消息的明文副本。

CISA 已将前国家安全顾问迈克·沃尔兹使用的消息应用程序 TeleMessage TM SGNL 中发现的一个中等严重性漏洞添加到其已知被利用漏洞 (KEV) 目录中。

更著名的 Signal 应用程序的修改版本 TM SGNL 最近受到安全研究人员的调查，随后被指控遭到黑客攻击，就在沃尔兹被拍到在手机上使用该应用程序之后。

Salt Security 网络安全战略总监 Eric Schwake 表示：“在 CISA 的 KEV 目录中发现一个 CVSS 评分低至 1.9 的漏洞，却引发如此多的关注，这似乎有些自相矛盾。然而，CVSS 评分主要反映的是漏洞的技术层面，而非漏洞被利用的后果或攻击者利用的程度。”

该漏洞编号为 CVE-2025-47729，其严重性评分为 CVSS 4.9（满分 10 分），据称会影响2025 年 5 月 5 日之前发布的 TeleMessage Archiving Backend。因此，建议更新到 2025 年 5 月之后发布的版本以缓解该漏洞。

16分30秒中的0秒音量0%

 

剥削导致严重曝光

CISA 的 KEV的增加引发了人们的担忧，特别是由于暴露数据的关键性。

尽管供应商保证该应用程序支持端到端加密，但研究人员 Micah Lee在深入研究其源代码后发现，该应用程序与最终消息存档之间的通信并非端到端加密。这使得攻击者能够访问纯文本聊天记录。

“尽管利用方法可能并不复杂（因此得分较低），但结果——尽管声称采用端到端加密，但仍能访问纯文本聊天记录——这构成了严重的保密性泄露，这对于安全的消息传递服务至关重要，尤其是处理敏感通信的服务，”Schwake 指出。

他补充说，CISA 建议机构和企业避免使用 TeleMessage，这可能是因为这种已证实的现实世界利用及其对数据隐私的重大影响，无论技术评分如何。

政府官员尤其容易受到攻击

Black Duck 基础设施安全实践总监 Thomas Richards 在评论中告诉 CSO：“由于据报道政府官员使用 TeleMessage，该漏洞很可能被添加到 KEV 列表中。”

沃尔兹错误地将《大西洋月刊》的杰弗里·戈德堡 (Jeffrey Goldberg) 添加到一个机密群聊中，导致高级政府官员遭到强烈反对。

BugCrowd 创始人凯西·埃利斯 (Casey Ellis) 指出，KEV 列表旨在确保所有联邦机构在避开该软件方面达成共识。“考虑到 TM Signal 的使用方式以及成功入侵的影响，将 KEV 列入其中对我来说并不意外，”埃利斯说。

联邦机构只有三周的时间来修复 KEV 目录中标记的所有漏洞，这是强制性的截止日期。虽然该规则不适用于私营部门，但强烈建议各组织机构密切关注 KEV 列表，并将其作为确定补丁优先级的首选资源。