HP выпустила экстренное предупреждение о критической уязвимости в устройствах линейки Poly Voice. Проблема затрагивает популярные модели IP-телефонов VVX и конференц-системы Trio, используемые во множестве компаний по всему миру. Уязвимость получила идентификатор CVE-2026-0826, а по шкале CVSS 4.0 ей присвоен максимальный балл 9,2, что соответствует критическому уровню опасности.
Как работает уязвимость
Корень проблемы кроется в протоколе ICE (Interactive Connectivity Establishment - механизм для установления прямого соединения между устройствами через сети с трансляцией адресов). Когда администратор включает поддержку ICE на устройстве, в коде обработки этого протокола возникает переполнение буфера. Это классическая программная ошибка: злоумышленник отправляет специально сформированный сетевой пакет, который выходит за границы выделенной памяти. В результате атакующий получает возможность удаленно исполнить произвольный код на устройстве. Причем для атаки не требуется ни аутентификация, ни взаимодействие с пользователем - достаточно доступности устройства по сети.
Исследователь из компании Rapid7 Стивен Фьюер, обнаруживший эту уязвимость, подчеркивает: злоумышленник может полностью перехватить управление телефоном, установить вредоносное программное обеспечение или использовать устройство как точку входа во внутреннюю сеть организации.
Какие устройства под угрозой
Подтверждено, что уязвимость затрагивает следующие продукты HP Poly на платформе Linux:
- VVX - уязвимы все версии прошивки до UCS 6.4.8 (обновление пока находится в разработке);
- Trio 8300 - версии до UCS 8.1.7;
- Trio 8500 и 8800 - версии до UCS 7.2.8.
Важно понимать, что эти устройства широко применяются в корпоративных переговорных комнатах и на рабочих местах сотрудников. Они подключаются к локальной сети и часто имеют доступ к внутренним ресурсам компании, включая серверы и базы данных. Удаленное выполнение кода на таком устройстве - прямая угроза всей инфраструктуре.
Почему атака считается критической
Согласно вектору CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N, уязвимость эксплуатируется удаленно (AV:N), требует низкой сложности (AC:L), но для успешной атаки злоумышленник должен преодолеть некоторые защитные механизмы (AT:P). При этом ему не нужны привилегии (PR:N) и взаимодействие с пользователем (UI:N). Последствия для конфиденциальности, целостности и доступности данных оцениваются как высокие (VC:H, VI:H, VA:H).
Простыми словами: хакер, находящийся где угодно в интернете, может отправить на телефон специальный пакет и полностью его скомпрометировать. После этого злоумышленник способен прослушивать разговоры, перехватывать трафик, использовать устройство как шлюз для атаки на другие подсистемы или встроить его в ботнет.
Реакция производителя и рекомендации
HP Poly выпустила обновления прошивок для линеек Trio. Что касается серии VVX, исправление еще готовится - администраторам следует следить за новыми версиями UCS 6.4.8. Временной мерой защиты HP настоятельно рекомендует отключить протокол ICE на всех устройствах, где он не используется. Обычно ICE включается только при необходимости организации прямых аудио- и видеозвонков за пределами локальной сети. Если предприятие использует выделенный сервер для звонков и не требует ICE, его безопасно отключить.
Администраторам советуют как можно быстрее проверить настройки всех Poly-устройств в инфраструктуре. Отключить ICE можно через веб-интерфейс управления или через консоль администрирования. После этого стоит установить актуальную прошивку для Trio (UCS 8.1.7 для 8300 и 7.2.8 для 8500/8800), а для VVX - дождаться официального патча.
Центр кибербезопасности Канады уже распространил предупреждение AV26-539, призывая организации принять меры. Вспомните: подобные уязвимости переполнения буфера в VoIP-оборудовании ранее приводили к масштабным атакам. Например, в 2022 году группировка APT использовала схожую брешь в телефонах другой марки для проникновения в сети телекоммуникационных компаний. Поэтому игнорировать проблему не стоит.
Что делать прямо сейчас
Если в вашей компании используются Poly VVX, Trio 8300, 8500 или 8800, проверьте версии прошивок. Для управления обновлениями HP рекомендует платформу Poly Lens - она позволяет централизованно отслеживать состояние устройств и устанавливать патчи. Также стоит пересмотреть политику включения ICE: по умолчанию этот функционал часто активируется без явной необходимости. Отключите его везде, где реально не требуется прямое соединение между конечными точками через NAT.
Уязвимость CVE-2026-0826 - яркий пример того, как протокольная функция, задуманная для удобства, может стать воротами для атаки. Разработчики уже исправляют ошибку, но инерция обновлений в корпоративной среде часто затягивается на недели и месяцы. Именно в этот промежуток злоумышленники и будут активнее всего искать незащищенные устройства. Позаботьтесь о своей сети сегодня.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-0826
- https://support.hp.com/us-en/document/ish_15052661-15052687-16/hpsbpy04083
