CISA, Kev listesine telemessage kusurunu ekler, ajansları ihlal edilen şifrelenmemiş sohbetlerden sonraki 3 hafta içinde harekete geçmeye çağırır. İsrail uygulaması Trump yetkilileri tarafından kullanıldı!
Eski Trump yönetim yetkilileri tarafından kullanılan ABD-İsrail firması Telemessage tarafından bir mesajlaşma uygulaması olan TM SGNL’de ciddi bir kusur, CISA’nın bilinen sömürülen güvenlik açıkları (KEV) listesine girdi. Hareket, hassas iletişim ve arka uç verilerini ortaya çıkaran bir ihlal raporlarını takip ediyor.
Siber Güvenlik ve Altyapı Güvenlik Ajansı (Cisa) bu hafta Kev kataloğuna CVE-2025-47729 ekledi. Liste, kırılganlığın vahşi doğada kullanıldığını ve federal ajansların konuyu ele alması için üç haftalık bir son tarih belirlediğini doğrulamaktadır.
İhlal ve araştırma bulguları
5 Mayıs’ta hackread.com bildirilmiş Bu telemessage, saldırganlar arka uç sistemlerine ve kullanıcı mesajı verilerine erişim kazandıktan sonra TM SGNL operasyonlarını durdurdu. İhlal, platformun temel güvenlik iddialarında şüphe uyandırdı.
Güvenlik araştırmacısı Micah Lee, uygulamanın kaynak kodunu analiz etti ve şifreleme modelinde ciddi bir boşluk buldu. Telemessage, TM SGNL’nin kullandığını belirtti Uçtan uca şifrelemeLee’nin bulguları aksini gösteriyor. Uygulama ve son depolama noktası arasındaki iletişim, saldırganların düz metin sohbet günlüklerini engellemesi için kapıyı açan tam şifreleme yoktu.
Bu bulgu, eski ulusal güvenlik danışmanı Mike Waltz da dahil olmak üzere üst düzey rakamların geçmiş kullanımı göz önüne alındığında, bazı ciddi güvenlik ve gizlilik endişelerini dile getirdi.
Cisa neden harekete geçti
CISA’nın KEV listesine kusuru ekleme kararı, devlet kurumlarına açık bir mesaj gönderiyor: Yazılım güvenli değil. Hızlı bir şekilde yamaya veya düşürmeleri için baskı yapar.
Thomas RichardsBlack Duck Altyapı Güvenlik Uygulaması Direktörü, kararın muhtemelen yazılımın hükümetteki kullanımından kaynaklandığını söyledi:
“Bu güvenlik açığı muhtemelen onu kimin kullandığı için KEV listesine eklendi. Hassas hükümet konuşmalarıyla ilgili, ihlal başka bir risk seviyesine sahip. CISA’nın hareketi, ajansların bu yazılımın güvenilmemesi gerektiğini bilmesini sağlamakla ilgili.”
Casey EllisBugCrowd’un kurucusu, dahil edilmenin ciddiyeti doğruladığını ekledi:
“CISA, federal ajansların mesajı aldığından emin oluyor. Günlüklerin düzgün şifrelenmemiş olması risk denklemini değiştiriyor. Ve CVSS 1.9 puanı düşük görünse de, yine de bu günlükleri saklayan cihazdan ödün verme tehlikesini yansıtıyor.”
Sırada ne var
Federal ajansların artık üç hafta içinde hareket etmeleri gerekmektedir. Hükümet dışındaki kuruluşların da KEV kataloğunu gözden geçirmeleri ve yamalar veya alternatif çözümler önceliklendirmeyi düşünmeleri tavsiye edilir.
İhlal ve takip KEV listesi, telemessage’ı şeffaflık, şifreleme standartları ve siyasi ve devlet iletişiminde kullanılan platformların güvenlik altyapısı hakkında daha büyük bir tartışmaya itti.
Daha fazla bilgi için, CVE girişi NHDve KEV kataloğuna şu adrese erişilebilir. Web sitesi CISA.