CVE-2026-2329 är en kritisk stackbaserad buffertöverskridningssårbarhet som påverkar Grandstream GXP1600-serien av VoIP-bordstelefoner. Bristen finns i enhetens webbaserade API-slutpunkt och kan utnyttjas på distans utan någon autentisering. Om den utnyttjas framgångsrikt kan en angripare få full fjärrkodkörning med root-privilegier på telefonen.

Eftersom dessa enheter används i stor utsträckning på kontor, hotell, callcenter och i småföretagsmiljöer kan ett intrång snabbt förvandlas till ett bredare problem med nätverkssäkerheten. VoIP-telefoner är ofta förbisedda ur ett säkerhetsperspektiv, vilket gör dem till attraktiva mål.

En offentlig Metasploit-modul som implementerar denna sårbarhet finns tillgänglig, vilket avsevärt ökar sannolikheten för exploatering inom en snar framtid

Tekniska detaljer

• Typ av sårbarhet: Stackbaserat buffertöverflöd

• Komponent: Web API-slutpunkt

• Påverkan: Exekvering av fjärrkod som root

• Vektor för angrepp: Fjärrkontroll, ingen autentisering krävs

• Allvarlighetsgrad: Kritisk (CVSS 9.3)

• Berörda modeller:

• GXP1610

• GXP1615

• GXP1620

• GXP1625

• GXP1628

• GXP1630

• Berörd inbyggd programvara: Versioner tidigare än 1.0.7.81

Den sårbara API-slutpunkten är nåbar i standardkonfigurationen, vilket innebär att en angripare inte behöver någon speciell åtkomst eller referenser för att försöka utnyttja den.

Risk och påverkan

Om denna sårbarhet inte åtgärdas kan en angripare

• Exekvera godtycklig kod med fullständiga root-rättigheter

• Ta fullständig kontroll över telefonen

• Avlyssna eller manipulera samtal

• Utföra avgiftsbedrägerier eller utge sig för att vara en användare

• Använda den komprometterade enheten som en första åtkomstpunkt till det interna nätverket

Med en fungerande PoC nu offentligt tillgänglig förväntas exploateringsförsöken öka.

Status för exploatering

Det finns för närvarande inga bekräftade rapporter om aktiv exploatering i naturen.

Tillgången till en PoC och den enkla exploateringen gör dock detta till en högrisk situation som bör behandlas med brådska.

Förmildrande åtgärder och sanering

Uppdatera den fasta programvaran:

Installera firmwareversion 1.0.7.81 eller senare. Denna uppdatering innehåller den officiella fixen.

Minska exponeringen:

Till dess att alla enheter är patchade:

• Se till att telefonens webbgränssnitt inte är exponerat mot internet

• Placera VoIP-enheter bakom brandväggar eller på isolerade VLAN

• Begränsa hanteringsåtkomsten till endast betrodda nätverk

Rekommendationer för företag:

• Granska alla utplacerade GXP1600-enheter och verifiera firmwareversioner

• Övervaka VoIP-loggar för ovanliga samtalsmönster eller obehöriga åtkomstförsök

• Behandla VoIP-enheter som en del av säkerhetsperimetern, inte som apparater med låg risk

Om du är orolig för något av de hot som beskrivs i den här bulletinen eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig mot de mest väsentliga hoten mot din organisation, kontakta din kundansvarige, eller alternativtkontaktaossförattta redapå hur du kan skydda din organisation.