Открита е критична уязвимост в серията VoIP телефони GXP1600 на Grandstream Networks, която позволява на отдалечен и неавтентикиран атакуващ да получи root достъп до устройството и незабелязано да подслушва разговори.

Уязвимостта е проследена като CVE-2026-2329 и има критичен CVSS резултат 9.3, което я поставя сред най-опасните за този клас устройства.

Засегнати устройства

Проблемът засяга шест модела от серията GXP1600, работещи с фърмуер по-стар от версия 1.0.7.81:

• GXP1610

• GXP1615

• GXP1620

• GXP1625

• GXP1628

• GXP1630

Важно: Дори ако устройството не е директно достъпно от интернет, атакуващ може да се придвижи (pivot) до него от друг компрометиран хост в същата мрежа. Експлоатацията е напълно тиха и телефонът продължава да функционира нормално, без видими признаци за компромис.

Технически детайли за експлоатацията

Според изследователите от Rapid7, уязвимостта се намира в уеб базираната API услуга на устройството:

Тази услуга е достъпна без удостоверяване в конфигурацията по подразбиране.

API-то приема параметър request, съдържащ идентификатори, разделени с двоеточия, които се копират в 64-байтов стеков буфер без проверка на дължината. Това води до stack overflow, чрез който може да се презапише съседна памет и да се поеме контрол над регистри като Program Counter.

Заобикаляне на защитите

Изследователите посочват, че експлоатацията изисква записване на множество null байтове, за да се изгради ROP верига. По дизайн уязвимостта позволява запис само на един null байт при всяко препълване.

Решението:
Чрез използване на няколко идентификатора, разделени с двоеточия, препълването може да се задейства многократно, като така се записват нужните null байтове поетапно.

„Всеки път, когато се срещне двоеточие, препълването може да бъде задействано отново чрез следващия идентификатор“, обясняват изследователите.

Какво позволява успешната атака

След успешна експлоатация, атакуващият може:

• Да изпълнява произволни команди на операционната система като root

• Да извлича запазени идентификационни данни за локални потребители и SIP акаунти

• Да преконфигурира SIP настройките, така че разговорите да минават през злонамерен SIP прокси

• Да подслушва VoIP разговори в реално време

За демонстрация на проблема, Rapid7 са разработили работещ модул за Metasploit, който показва неавтентикирано отдалечено изпълнение на код с root права.

Реакция на производителя

Изследователите са уведомили Grandstream на 6 януари, а повторно – на 20 януари, след като не са получили отговор.
В крайна сметка уязвимостта е коригирана на 3 февруари с издаването на фърмуер версия 1.0.7.81.

Препоръки за администратори и организации

Всички потребители на засегнатите VoIP телефони трябва незабавно:

• Да актуализират фърмуера до версия 1.0.7.81 или по-нова

• Да ограничат достъпа до управленските интерфейси на устройствата

• Да сегментират VoIP инфраструктурата в отделна мрежова зона

•  Да прегледат SIP конфигурациите за неоторизирани промени

CVE-2026-2329 е изключително опасна уязвимост, тъй като комбинира липса на автентикация, пълен контрол над устройството и възможност за незабелязано подслушване. За организации, използващи VoIP телефони в бизнес среда, незабавното прилагане на обновленията е критично важно.