Критическая уязвимость в VoIP-телефонах Grandstream серии GXP1600 (CVE-2026-2329) позволяет удаленно получить root-привилегии и прослушивать звонки. Проблема в веб-API, исправлена в прошивке 1.0.7.81. — bleepingcomputer.com
Критическая уязвимость в VoIP-телефонах Grandstream серии GXP1600 позволяет удаленному неаутентифицированному злоумышленнику получить привилегии root и незаметно прослушивать коммуникации.
Оборудование для VoIP-коммуникаций от Grandstream Networks используется малыми и средними предприятиями. Линейка продуктов компании GXP является частью премиального предложения компании для бизнеса, школ, отелей и поставщиков услуг интернет-телефонии (ITSP) по всему миру.
Уязвимость отслеживается под кодом CVE-2026-2329 и получила критическую оценку серьезности 9.3. Она затрагивает следующие шесть моделей серии GXP1600, работающих на версиях прошивки до 1.0.7.81:
- GXP1610
- GXP1615
- GXP1620
- GXP1625
- GXP1628
- GXP1630
Даже если уязвимое устройство недоступно напрямую через общедоступный интернет, злоумышленник может использовать его как точку входа с другого хоста в сети. Эксплуатация происходит незаметно, и все работает как обычно.
В техническом отчете исследователи Rapid7 объясняют, что проблема заключается в веб-API сервисе устройства (/cgi-bin/api.values.get), который в конфигурации по умолчанию доступен без аутентификации.
API принимает параметр ‘request’, содержащий идентификаторы, разделенные двоеточиями, который без проверки длины копируется в буфер стека размером 64 байта.
Из-за этого злоумышленник, передавая слишком длинный ввод, может вызвать переполнение буфера стека, перезаписав смежную память и получив контроль над регистрами процессора, такими как счетчик команд (Program Counter).
Исследователи Rapid7 разработали рабочий модуль Meta*sploit для демонстрации неаутентифицированного удаленного выполнения кода от имени root путем эксплуатации CVE-2026-2329.
Эксплуатация позволяет выполнять произвольные команды ОС, извлекать сохраненные учетные данные локальных пользователей и SIP-аккаунтов, а также перенастраивать устройство для использования вредоносного SIP-прокси, позволяющего прослушивать звонки.
Исследователи Rapid7 заявляют, что успешная эксплуатация требует записи нескольких нулевых байтов для построения цепочки ROP (return-oriented programming). Однако CVE-2026-2329 позволяет записать только один нулевой байт-терминатор во время переполнения.
Для обхода ограничения исследователи использовали несколько идентификаторов, разделенных двоеточиями, чтобы многократно вызывать переполнение и записывать нулевые байты несколько раз.
«Каждый раз, когда встречается двоеточие, переполнение может быть вызвано снова через следующий идентификатор», — объясняют исследователи в техническом описании.
«Мы можем использовать это, а также возможность записи одного нулевого байта в качестве последнего символа в текущем обрабатываемом идентификаторе, чтобы записать несколько нулевых байтов во время эксплуатации».
Исследователи связались с Grandstream 6 января, а затем 20 января, не получив ответа.
В итоге Grandstream исправила проблему 3 февраля, выпустив прошивку версии 1.0.7.81.
Технические детали и модуль для фреймворка пентестинга и эксплуатации Meta*sploit. Пользователям уязвимых продуктов Grandstream настоятельно рекомендуется как можно скорее установить доступные обновления безопасности.
Facebook*, Instagram* и WhatsApp* принадлежат компании Meta* Platforms Inc., деятельность которой признана экстремистской и запрещена на территории Российской Федерации.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas