Uma vulnerabilidade crítica nos telefones VoIP da série Grandstream GXP1600 permite que um invasor remoto e não autenticado obtenha privilégios de root e escute as comunicações de forma silenciosa.
Esses aparelhos, fabricados pela Grandstream Networks, são amplamente usados por pequenas e médias empresas.
A linha GXP representa o portfólio de alto padrão da fabricante, direcionado a negócios, instituições de ensino, hotéis e provedores de serviços de telefonia por internet (ITSP) no mundo todo.
Identificada como
CVE-2026-2329
, a falha recebeu uma nota de gravidade crítica, com índice 9,3.
Ela afeta seis modelos da série GXP1600 que utilizam versões de firmware anteriores à 1.0.7.81:
- GXP1610
- GXP1615
- GXP1620
- GXP1625
- GXP1628
- GXP1630
Embora os dispositivos vulneráveis não estejam acessíveis diretamente pela internet pública, um atacante pode comprometer o aparelho a partir de outra máquina na rede interna.
A exploração ocorre de forma silenciosa, sem impactar o funcionamento do telefone.
Pesquisadores da Rapid7 detalharam em relatório técnico que a falha está no serviço de API web do dispositivo (/cgi-bin/api.values.get), que, por padrão, pode ser acessado sem autenticação.
Essa API recebe um parâmetro ‘request’ composto por identificadores separados por dois pontos.
O conteúdo é copiado para um buffer na stack de 64 bytes sem qualquer verificação de tamanho, o que permite a ocorrência de um stack overflow ao enviar um input excessivamente longo.
Com essa vulnerabilidade, o invasor pode sobrescrever regiões adjacentes da memória, controlando registradores importantes da CPU, como o Program Counter, o que possibilita a execução de código arbitrário.
A Rapid7 desenvolveu um módulo funcional para Metasploit que explora essa vulnerabilidade, permitindo a execução remota e não autenticada de comandos com privilégios de root.
A exploração possibilita executar comandos arbitrários no sistema operacional, extrair credenciais armazenadas de usuários locais e contas SIP, além de reconfigurar o dispositivo para direcionar a comunicação a um proxy SIP malicioso, permitindo a espionagem das chamadas.
Os pesquisadores explicam que a exploração exige a gravação de múltiplos bytes nulos para construir uma cadeia de Return-Oriented Programming (ROP).
Entretanto, a vulnerabilidade permite escrever apenas um byte nulo por vez durante o overflow.
Para contornar essa limitação, os investigadores enviaram múltiplos identificadores separados por dois pontos, acionando o overflow reiteradamente e gravando diversos bytes nulos.
“Cada vez que um dois-pontos é encontrado, o overflow pode ser acionado novamente pelo próximo identificador”, detalham os pesquisadores.
“Isso permite escrever múltiplos bytes nulos durante a exploração, mesmo com a restrição de um único byte por vez.”
A correção foi disponibilizada apenas em 3 de fevereiro, na versão 1.0.7.81 do firmware.
Os detalhes técnicos e o módulo para Metasploit estão disponíveis para testes e análises de segurança.
Usuários de equipamentos Grandstream vulneráveis devem aplicar as atualizações o quanto antes para evitar riscos graves à segurança das comunicações.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...