В Банк данных угроз безопасности информации (BDU) внесена новая критическая уязвимость, затрагивающая популярные модели IP-телефонов Grandstream серии GXP16xx. Уязвимость, получившая идентификатор BDU:2026-01979 (также известная как CVE-2026-2329), позволяет удаленному злоумышленнику получить полный контроль над устройством. Эксперты по кибербезопасности присвоили ей максимальные оценки по всем актуальным версиям системы оценки CVSS, что подчеркивает исключительную серьезность угрозы.
Детали уязвимости
Суть проблемы кроется в критической ошибке типа «выход за границы буфера» (CWE-119) в прикладном программном интерфейсе (API) "api.values.get" микропрограммного обеспечения телефонов. Следовательно, атакующий, не проходя аутентификацию, может отправить на устройство специально сформированный HTTP-запрос. В результате это приводит к переполнению буфера в памяти и выполнению произвольного вредоносного кода с наивысшими привилегиями root. Фактически, злоумышленник получает неограниченный доступ к телефону как к сетевому устройству.
Под угрозой находятся модели GXP1610, GXP1615, GXP1620, GXP1625, GXP1628 и GXP1630, работающие на микропрограмме версии 1.0.7.79. Важно отметить, что уязвимость уже подтверждена производителем, а в открытом доступе существуют рабочие эксплойты, например, в рамках популярного фреймворка Metasploit. Это значительно упрощает проведение атак и повышает риски их массового использования.
Таким образом, критичность уязвимости обусловлена несколькими факторами. Во-первых, для эксплуатации не требуются учетные данные или взаимодействие с пользователем. Во-вторых, успешная атака предоставляет злоумышленнику полный контроль. В-третьих, IP-телефоны часто размещаются в корпоративных сетях, иногда с доступом из интернета для удаленных сотрудников. Поэтому компрометация такого устройства может стать стартовой точкой для горизонтального перемещения по сети, сбора конфиденциальных разговоров или установки вредоносного программного обеспечения для обеспечения постоянного присутствия (persistence).
Производитель Grandstream оперативно отреагировал на обнаруженную проблему. Уязвимость была устранена в обновленной версии микропрограммы 1.0.7.81. Следовательно, основная и настоятельно рекомендуемая мера защиты - немедленное обновление прошивки всех затронутых устройств до актуальной версии. При этом специалисты напоминают о необходимости оценки всех сопутствующих рисков перед установкой любых обновлений в текущих геополитических условиях.
Однако если немедленное обновление невозможно, следует реализовать комплекс компенсирующих мер. Прежде всего, необходимо строго ограничить или полностью запретить доступ к административным интерфейсам телефонов из внешних сетей. Кроме того, эффективным решением может стать применение межсетевых экранов уровня веб-приложений (WAF) для фильтрации подозрительных HTTP-запросов к уязвимому API. Дополнительно рекомендуется настроить правила доступа по принципу «белого списка» и использовать системы класса SIEM для мониторинга неавторизованных обращений к конечной точке "api.values.get".
Данный инцидент наглядно демонстрирует растущие риски, связанные с периферийными сетевыми устройствами Интернета вещей (IoT), которые часто недооцениваются. IP-телефоны, камеры и принтеры могут стать слабым звеном в обороне организации. Регулярное обновление прошивок, сегментация сети и постоянный мониторинг трафика являются ключевыми элементами современной стратегии кибербезопасности. В заключение, организациям, использующим оборудование Grandstream, следует безотлагательно провести инвентаризацию и применить необходимые патчи или меры защиты для предотвращения потенциально разрушительного инцидента.
Ссылки
- https://bdu.fstec.ru/vul/2026-01979
- https://www.cve.org/CVERecord?id=CVE-2026-2329
- https://firmware.grandstream.com/Release_Note_GXP16xx_1.0.7.81.pdf
- https://github.com/rapid7/metasploit-framework/pull/20983
- https://www.rapid7.com/blog/post/ve-cve-2026-2329-critical-unauthenticated-stack-buffer-overflow-in-grandstream-gxp1600-voip-phones-fixed/
- https://dbugs.ptsecurity.com/vulnerability/PT-2026-20432
