"Signal", который не Signal: фальшивый мессенджер слил гостайны чиновников Белого дома

CISA TeleMessage TM SGNL Smarsh уязвимость США кибербезопасность
"Signal", который не Signal: фальшивый мессенджер слил гостайны чиновников Белого дома
CISA TeleMessage TM SGNL Smarsh уязвимость США кибербезопасность

Мессенджер, который должен был защищать, стал троянским конём.

image

Агентство CISA предупредило о серьёзных угрозах, связанных с приложением TeleMessage TM SGNL, которое позиционировалось как безопасный аналог мессенджера Signal. По данным ведомства, злоумышленники активно эксплуатируют две уязвимости в этом приложении, что представляет значительные риски для федеральных структур США. В связи с этим госорганам предписано до 22 июля либо устранить уязвимости с помощью обновлений от разработчиков, либо полностью отказаться от использования TM SGNL.

TeleMessage стало широко известно после так называемого инцидента Signalgate. Тогда советник по нацбезопасности США Майк Уолтц по ошибке добавил журналиста в закрытый чат Signal, где обсуждался авиаудар по хуситам в Йемене. Хотя сообщения в чате были настроены на автоматическое удаление, это вызвало вопросы у контролирующих органов относительно соблюдения требований по хранению официальной переписки.

Однако последующее расследование показало, что участники чата использовали не оригинальный Signal, а разработанное компанией TeleMessage приложение-клон TM SGNL. Эта программа создана для учёта и архивирования служебных сообщений, её разработкой занимается принадлежащая американской фирме Smarsh компания TeleMessage. Несмотря на заявленную безопасность, проверка исходного кода выявила серьёзные технические недостатки и отсутствие полноценного сквозного шифрования, которое используется в Signal.

Недостатки не остались незамеченными. Уже в мае на платформе Distributed Denial of Secrets были опубликованы переписки и метаданные более 60 сотрудников госструктур США, включая представителей Секретной службы и, как минимум, одного сотрудника Белого дома.

В связи с этим CISA включило две уязвимости TM SGNL в официальный каталог эксплуатируемых уязвимостей.

  • Первая уязвимость — CVE-2025-48927 (оценка CVSS 5.3). Проблема связана с неправильной конфигурацией Spring Boot Actuator, из-за чего становится доступен эндпоинт /heapdump. Через него злоумышленники могут скачивать дампы памяти, содержащие конфиденциальные данные.
  • Вторая уязвимость — CVE-2025-48928 (оценка CVSS: 4.0). Брешь позволяет при локальном доступе к серверу TeleMessage получить дампы памяти, что также грозит утечкой паролей и другой чувствительной информации, особенно если пароли передавались по незащищённому HTTP-протоколу.

Подробностей о случаях эксплуатации уязвимостей CISA не сообщило, однако известно, что пока их не связывают с атаками программ-вымогателей. Официальной информации о том, сколько государственных служащих США продолжает использовать TM SGNL, также нет. Компания Smarsh, которой принадлежит TeleMessage, не предоставила своих комментириев.