La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha elevado el nivel de su alerta con respecto a TeleMessage TM SGNL, incorporando una vulnerabilidad crítica de funcionalidad oculta (CVE-2025-47729) a su listado de vulnerabilidades explotadas conocidas (KEV).
Esta deficiencia de seguridad revela copias de los mensajes de los usuarios en formato de texto plano dentro del sistema de archivo de la plataforma, lo que suscita importantes inquietudes para las organizaciones que dependen de sistemas de comunicación seguros.
Esta divulgación se inscribe en el marco del esfuerzo más amplio de CISA por priorizar las vulnerabilidades que están siendo activamente explotadas, tal como se evidencia en las adiciones simultáneas dirigidas a dispositivos GeoVision, bibliotecas FreeType y componentes del kernel de Linux.
La vulnerabilidad de TeleMessage TM SGNL tiene su origen en una funcionalidad no documentada que almacena copias de los mensajes sin cifrar en su infraestructura de archivo.
Clasificada bajo CWE-912 (funcionalidad oculta), esta vulnerabilidad facilita el acceso no autorizado a comunicaciones confidenciales, incluso cuando se implementa el cifrado de extremo a extremo en la capa de aplicación.
Los analistas de seguridad señalan que la persistencia de datos en texto claro viola los principios fundamentales de confianza cero, ya que los mensajes archivados siguen siendo vulnerables a la filtración a través de sistemas backend comprometidos o amenazas internas.
El aviso de CISA exige una acción inmediata, dando a las organizaciones hasta el 2 de junio de 2025 para aplicar las mitigaciones proporcionadas por los proveedores o suspender el uso de TM SGNL.
El breve período de remediación de 21 días refleja la gravedad de la exposición, particularmente para las agencias gubernamentales y las instituciones financieras que utilizan TeleMessage para enviar mensajes que cumplen con las regulaciones.
Esta urgencia refleja directivas recientes para dispositivos GeoVision, donde los productos al final de su vida útil con vulnerabilidades de inyección de comandos (CVE-2024-6047, CVE-2024-11120) recibieron cronogramas de parches acelerados similares.
La divulgación de TeleMessage coincide con un aumento en las vulnerabilidades de la cadena de suministro de software agregadas al catálogo de KEV.
Las entradas notables incluyen la falla de análisis de fuentes de FreeType (CVE-2025-27363), que permite la ejecución de código arbitrario a través de archivos TrueType maliciosos, y el punto final API no autenticado de Langflow (CVE-2025-3248) que permite la ejecución remota de código.
Estas vulnerabilidades comparten temas comunes de validación de entrada insuficiente y configuraciones predeterminadas inseguras, lo que subraya los desafíos sistémicos en el desarrollo de software seguro.
De particular preocupación es la vulnerabilidad del controlador de audio USB del kernel de Linux (CVE-2024-53197), que permite a atacantes físicos manipular la memoria a través de dispositivos USB maliciosos.
Esta vulnerabilidad de interacción hardware-software demuestra cómo las superficies de ataque se están expandiendo entre las clases de dispositivos.
De manera similar, la falla de corrupción de memoria de Apple (CVE-2025-31200) que afecta el procesamiento de audio de iOS/macOS resalta los riesgos de canales complejos de análisis de medios en los sistemas operativos modernos.
El catálogo KEV de CISA continúa evolucionando hacia un recurso estratégico para la gestión de riesgos empresariales, con 1.336 entradas catalogadas a mayo de 2025.
La directiva operativa vinculante de la agencia (BOD 22-01) ahora se extiende explícitamente a los servicios en la nube, exigiendo que las agencias federales remedien las vulnerabilidades enumeradas en KEV o interrumpan los servicios afectados dentro de plazos estrictos.
Este cambio de política tiene efectos en cadena en las cadenas de suministro del sector privado, como lo demuestran los avisos paralelos de Commvault sobre vulnerabilidades de servidores web (CVE-2025-34028, CVE-2025-3928) que afectan las implementaciones de nube gubernamentales.
El aviso de TeleMessage ejemplifica la especificidad técnica de CISA en boletines recientes, detallando vectores de ataque exactos como la carga de archivos sin restricciones de SAP NetWeaver (CVE-2025-31324) y la falla de inyección de código de Broadcom Fabric OS (CVE-2025-1976).
Al asignar vulnerabilidades a los estándares MITRE CWE y especificar la relevancia del ransomware, el catálogo permite a las organizaciones alinear la remediación con el marco MITRE ATT&CK.
No obstante, la designación de «Desconocido» para el estado del ransomware en la mayoría de los registros subraya las deficiencias en la información de inteligencia con respecto al seguimiento de las cadenas de explotación de los adversarios.
La estrategia de CISA integra la colaboración con los proveedores, como se evidencia en las divulgaciones coordinadas con Apple y Microsoft para las correcciones de suplantación de identidad NTLM (CVE-2025-24054), con plazos estrictos que instan a las organizaciones a modernizar los sistemas obsoletos.
El plazo promedio de 30 días para la resolución de las vulnerabilidades añadidas en mayo de 2025 sugiere una postura cada vez más firme en la política nacional de ciberseguridad, especialmente para aquellos sectores que enfrentan dificultades con la complejidad de la gestión de parches.
