AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

Intentos de explotación masiva contra CVE-2025-48927 exponen credenciales en TeleMessage SGNL

admin

Introducción

En las últimas semanas, investigadores de seguridad han detectado campañas activas de explotación dirigidas a la vulnerabilidad CVE-2025-48927, un fallo crítico que afecta a la aplicación de mensajería segura TeleMessage SGNL. Esta vulnerabilidad permite a actores maliciosos extraer nombres de usuario, contraseñas y otros datos sensibles almacenados en la aplicación, comprometiendo gravemente la confidencialidad e integridad de las comunicaciones corporativas. La amenaza ha despertado la alerta de equipos SOC y responsables de ciberseguridad, dada la rápida proliferación de intentos de explotación y la criticidad de los sistemas afectados.

Contexto del Incidente

TeleMessage SGNL es una solución de mensajería cifrada muy utilizada en sectores regulados y empresas con necesidades avanzadas de confidencialidad, especialmente en mercados regulados por GDPR y NIS2. El descubrimiento de la vulnerabilidad fue reportado el pasado mes de mayo y, desde entonces, se han observado múltiples intentos de explotación, tanto manuales como automatizados, a nivel global. El fallo afecta a las versiones SGNL 5.3.2 y anteriores, instaladas en entornos iOS y Android, con una estimación de 18.000 instancias potencialmente vulnerables, según fuentes del sector.

Detalles Técnicos

La vulnerabilidad CVE-2025-48927 corresponde a una exposición insegura de credenciales en el almacenamiento local de la aplicación. Un atacante con acceso físico o remoto al dispositivo puede aprovechar un fallo en la gestión de permisos de acceso a archivos para extraer el fichero de configuración de la app, en el que se almacenan en texto plano los identificadores de usuario y contraseñas.

El vector de ataque principal reside en la explotación de permisos excesivos concedidos a la aplicación, que permiten la lectura de datos sensibles sin requerir privilegios elevados. Investigadores han replicado la explotación mediante frameworks como Metasploit y Cobalt Strike, integrando módulos personalizados que automatizan la extracción y exfiltración de archivos críticos. Los TTP observados corresponden a las técnicas T1083 (File and Directory Discovery) y T1552 (Unsecured Credentials) del framework MITRE ATT&CK.

Entre los indicadores de compromiso (IoC) destacan logs anómalos de acceso a ficheros de configuración, conexiones salientes no autorizadas y la aparición de archivos comprimidos sospechosos en directorios temporales. Además, se han identificado exploits públicos circulando en foros de hacking, lo que incrementa el riesgo de explotación automatizada a gran escala.

Impacto y Riesgos

La explotación de CVE-2025-48927 expone directamente las credenciales de acceso de los usuarios, permitiendo a un atacante no sólo acceder a las comunicaciones cifradas, sino también pivotar a otros sistemas corporativos mediante técnicas de movimiento lateral y escalada de privilegios. La pérdida de confidencialidad afecta especialmente a sectores como banca, sanidad, legal o auditoría, donde la protección de la información es crítica.

Según estimaciones preliminares, el 70% de las empresas que utilizan TeleMessage SGNL no han aplicado aún los parches de seguridad, lo que supone un riesgo elevado de fuga de datos y sanciones regulatorias bajo GDPR, que contempla multas de hasta el 4% del volumen de negocio anual. Las consecuencias económicas de una brecha pueden superar los 2 millones de euros en costes directos e indirectos (forensia, notificaciones, pérdida de confianza, etc.).

Medidas de Mitigación y Recomendaciones

Los desarrolladores de TeleMessage han publicado un parche de emergencia (versión 5.3.3) que corrige la gestión de permisos de acceso y cifra adecuadamente los archivos de configuración. Se recomienda encarecidamente a los administradores de sistemas y responsables de TI desplegar la actualización de inmediato en todos los dispositivos afectados.

Además, se aconseja reforzar las políticas de control de acceso al dispositivo, implementar autenticación multifactor (MFA) para el acceso a la app y monitorizar los sistemas en busca de IoC relacionados. La realización de auditorías periódicas de permisos y la concienciación de los usuarios frente a los riesgos de la reutilización de contraseñas son medidas complementarias clave.

Opinión de Expertos

Jaime López, consultor senior de ciberseguridad en una multinacional del sector financiero, advierte: «Este tipo de vulnerabilidades ponen de manifiesto la importancia de revisar no solo la seguridad de las comunicaciones, sino también la protección del endpoint y la gestión segura de credenciales. Con el auge del BYOD y el trabajo remoto, el perímetro corporativo es más difuso que nunca».

Por su parte, Marta Pastor, CISO en una empresa tecnológica, incide en la relevancia del cumplimiento normativo: «Las organizaciones deben entender que, ante incidentes de fuga de datos personales, la responsabilidad recae sobre el responsable del tratamiento bajo GDPR. La falta de actualización de los sistemas puede derivar en sanciones muy graves».

Implicaciones para Empresas y Usuarios

La explotación de CVE-2025-48927 pone en jaque la confianza en soluciones de mensajería cifrada y subraya la necesidad de una gestión proactiva del ciclo de vida de las aplicaciones. Para las empresas, el incidente implica una revisión urgente de las políticas de actualización, el refuerzo de la vigilancia SOC y la colaboración con proveedores para garantizar una respuesta ágil ante nuevas amenazas.

Para los usuarios finales, la recomendación es clara: actualizar la aplicación a la última versión disponible, no compartir credenciales entre servicios y activar siempre funciones de seguridad adicionales, como la verificación en dos pasos.

Conclusiones

El caso de CVE-2025-48927 en TeleMessage SGNL evidencia el impacto potencial de las vulnerabilidades en aplicaciones críticas y la necesidad de una respuesta coordinada y rápida. La explotación activa y la disponibilidad de exploits públicos hacen que la ventana de exposición sea especialmente peligrosa. La actualización inmediata, combinada con buenas prácticas de gestión de credenciales y monitorización, resultan esenciales para minimizar riesgos y proteger la información sensible.

(Fuente: www.bleepingcomputer.com)