CVE-2026-2329 es una vulnerabilidad crítica de desbordamiento de búfer basada en pila que afecta a la serie Grandstream GXP1600 de teléfonos VoIP de sobremesa. El fallo se encuentra en el punto final de la API basada en web del dispositivo y puede ser explotado de forma remota sin ningún tipo de autenticación. Si se explota con éxito, un atacante puede obtener la ejecución remota completa de código con privilegios de root en el teléfono.

Dado que estos dispositivos están muy extendidos en oficinas, hoteles, centros de llamadas y entornos de pequeñas empresas, un ataque puede convertirse rápidamente en un problema de seguridad de red más amplio. Los teléfonos VoIP suelen pasarse por alto desde el punto de vista de la seguridad, lo que los convierte en objetivos atractivos.

Existe un módulo Metasploit público que implementa esta vulnerabilidad, lo que aumenta significativamente la probabilidad de explotación en un futuro próximo.

Detalles técnicos

    • Tipo de vulnerabilidad: Desbordamiento de búfer basado en pila
    • Componente: Punto final de API web
    • Repercusión: Ejecución remota de código como root
    • Vector de ataque: Remoto, no requiere autenticación
    • Gravedad: Crítico (CVSS 9.3)
    • Modelos afectados:
    • GXP1610
    • GXP1615
    • GXP1620
    • GXP1625
    • GXP1628
    • GXP1630
    • Firmware afectado: Versiones anteriores a 1.0.7.81

El punto final de API vulnerable es accesible en la configuración predeterminada, lo que significa que un atacante no necesita ningún acceso especial o credenciales para intentar la explotación.

Riesgo e impacto

Si no se corrige esta vulnerabilidad, un atacante podría:

    • Ejecutar código arbitrario con privilegios completos de root
    • Tomar el control completo del teléfono
    • Interceptar o manipular llamadas
    • Realizar fraudes de peaje o suplantar usuarios
    • Utilizar el dispositivo infectado como punto de acceso inicial a la red interna.

Con un PoC de trabajo ahora a disposición del público, se espera que aumenten los intentos de explotación.

Estado de la explotación

Actualmente no hay informes confirmados de explotación activa en la naturaleza.

Sin embargo, la disponibilidad de un PoC y la facilidad de explotación hacen de esta una situación de alto riesgo que debe ser tratada con urgencia.

Mitigación y solución

Actualización del firmware:

Instale la versión de firmware 1.0.7.81 o posterior. Esta actualización contiene la corrección oficial.

Reduzca la exposición:

Hasta que todos los dispositivos estén parcheados:

    • Asegúrese de que la interfaz web del teléfono no esté expuesta a Internet.
    • Coloque los dispositivos VoIP detrás de cortafuegos o en VLAN aisladas.
    • Restrinja el acceso de gestión únicamente a redes de confianza.

Recomendaciones para empresas:

    • Audite todos los dispositivos GXP1600 instalados y verifique las versiones de firmware.
    • Supervisar los registros de VoIP para detectar patrones de llamadas inusuales o intentos de acceso no autorizados.
    • Tratar los dispositivos VoIP como parte del perímetro de seguridad, no como aparatos de bajo riesgo.

 

Si le preocupa alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes a las que se enfrenta su organización, póngase en contacto con su gestor de cuentas o, alternativamente,póngase en contactoparaaveriguar cómo puede proteger su organización.

 

Contáctanos