# CVE-2025-27920 > [!high] Directory Traversal no Output Messenger - Explorado pelo Sea Turtle > Vulnerabilidade de directory traversal no Output Messenger que permite acesso não autorizado ao sistema de arquivos do servidor, explorada pelo grupo de espionagem Sea Turtle (Denizatı) em campanhas de coleta de credenciais e espionagem. ## Visão Geral A [[cve-2025-27920|CVE-2025-27920]] é uma vulnerabilidade de **directory traversal** no **Output Messenger**, uma plataforma de comunicação corporativa interna. A falha permite que atacantes não autenticados acessem arquivos arbitrários do sistema através de path traversal, podendo expor credenciais, arquivos de configuração e dados sensíveis do servidor. O grupo [[g1041-sea-turtle|Sea Turtle]] (também conhecido como Denizatı, UNC1326 ou Cosmic Wolf), um ator de espionagem vinculado ao estado turco, foi documentado explorando esta vulnerabilidade. O Sea Turtle tem histórico de comprometer provedores de DNS e serviços de comunicação como parte de campanhas de coleta de credenciais e espionagem governamental, especialmente no Oriente Médio, Nordeste da África e Europa. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | Directory Traversal / Path Traversal | | Componente | Output Messenger - servidor web | | Vetor | Rede - sem autenticação | | Impacto | Leitura de arquivos arbitrários do servidor | | Dados em risco | Credenciais, configs, histórico de mensagens | ## TTPs Associadas | Técnica | Descrição | |---------|-----------| | [[t1190-exploit-public-facing-application\|T1190]] | Exploração do servidor Output Messenger | | [[t1552-001-credentials-in-files\|T1552.001]] | Roubo de credenciais via leitura de arquivos | | [[t1114-email-collection\|T1114]] | Coleta de histórico de comúnicações | | [[t1083-file-and-directory-discovery\|T1083]] | Enumeração de sistema de arquivos via traversal | ## Detecção e Defesa **Mitigações:** - Atualizar Output Messenger para versão 2.0.63 ou superior - [[m1051-update-software\|M1051]] - Patch urgente para todas as instâncias Output Messenger - [[m1030-network-segmentation\|M1030]] - Restringir acesso ao servidor por VPN - Auditar arquivos de configuração e credenciais armazenadas no servidor - Monitorar requisições HTTP com sequências `../` nos logs do servidor > [!latam] Relevância para Brasil e LATAM > Ferramentas de comunicação corporativa interna como o Output Messenger são utilizadas por organizações no Brasil e LATAM que buscam alternativas ao Slack/Teams para comunicação segura interna. O Sea Turtle, embora com foco primário na região MENA, realiza campanhas de espionagem contra alvos diplomáticos e governamentais em múltiplas regiões. Organizações com perfil de alto interesse para espionagem no Brasil devem auditar todas as ferramentas de comunicação interna quanto a vulnerabilidades similares. ## Referências - [NVD - CVE-2025-27920](https://nvd.nist.gov/vuln/detail/CVE-2025-27920) - [Microsoft MSTIC - Sea Turtle](https://www.microsoft.com/security/blog/)