Avviso di sicurezza: CVE-2026-2329

CVE-2026-2329 è una vulnerabilità critica di buffer overflow basata sullo stack che interessa la serie di telefoni fissi VoIP Grandstream GXP1600. La falla si trova nell'endpoint API basato sul Web del dispositivo e può essere sfruttata da remoto senza alcuna autenticazione. Se sfruttata con successo, un utente malintenzionato può ottenere l'esecuzione completa di codice remoto con privilegi di root sul telefono.

Poiché questi dispositivi sono ampiamente diffusi in uffici, hotel, call center e ambienti di piccole imprese, una compromissione può trasformarsi rapidamente in un problema di sicurezza di rete più ampio. I telefoni VoIP sono spesso trascurati dal punto di vista della sicurezza, il che li rende obiettivi interessanti.

È disponibile un modulo Metasploit pubblico che implementa questa vulnerabilità, il che aumenta significativamente la probabilità di sfruttamento nel prossimo futuro.

Dettagli tecnici

• Tipo di vulnerabilità: Overflow del buffer basato su stack

• Componente: Endpoint API Web

• Impatto: Esecuzione di codice remoto come root

• Vettore di attacco: Remoto, nessuna autenticazione richiesta

• Gravità: Critico (CVSS 9.3)

• Modelli interessati:

• GXP1610

• GXP1615

• GXP1620

• GXP1625

• GXP1628

• GXP1630

• Firmware interessato: Versioni precedenti alla 1.0.7.81

L'endpoint API vulnerabile è raggiungibile nella configurazione predefinita, il che significa che un utente malintenzionato non ha bisogno di accessi o credenziali speciali per tentare lo sfruttamento.

Rischio e impatto

Se questa vulnerabilità non viene risolta con una patch, un utente malintenzionato potrebbe:

• Eseguire codice arbitrario con privilegi di root completi.

• Prendere il controllo completo del telefono

• Intercettare o manipolare le chiamate

• Eseguire frodi sui pedaggi o impersonare gli utenti

• Utilizzare il dispositivo compromesso come punto di accesso iniziale alla rete interna.

Con un PoC funzionante ora disponibile pubblicamente, i tentativi di sfruttamento sono destinati ad aumentare.

Stato dello sfruttamento

Al momento non ci sono segnalazioni confermate di sfruttamento attivo in natura.

Tuttavia, la disponibilità di un PoC e la facilità di sfruttamento rendono questa situazione ad alto rischio che deve essere trattata con urgenza.

Mitigazione e rimedio

Aggiornare il firmware:

Installare il firmware versione 1.0.7.81 o successiva. Questo aggiornamento contiene la correzione ufficiale.

Ridurre l'esposizione:

Fino a quando tutti i dispositivi non sono stati patchati:

• Assicurarsi che l'interfaccia web del telefono non sia esposta a Internet.

• Posizionare i dispositivi VoIP dietro firewall o su VLAN isolate.

• Limitare l'accesso alla gestione solo alle reti fidate

Raccomandazioni aziendali:

• Controllare tutti i dispositivi GXP1600 distribuiti e verificare le versioni del firmware.

• Monitorare i registri VoIP per rilevare schemi di chiamata insoliti o tentativi di accesso non autorizzati.

• Trattare i dispositivi VoIP come parte del perimetro di sicurezza, non come dispositivi a basso rischio.

Se siete preoccupati per una qualsiasi delle minacce descritte in questo bollettino o se avete bisogno di aiuto per determinare le misure da adottare per proteggervi dalle minacce più importanti per la vostra organizzazione, contattate il vostro account manager o, in alternativa,mettetevi in contattoperscoprire come potete proteggere la vostra organizzazione.