Ein schwerwiegender Fehler in der VoIP GXP1600 Telefonserie von Grandstream ermöglicht einen nicht authentifizierten Fernangreifer, die Kontrolle über das Team mit Root-Privilegien zu übernehmen und Anrufe zu hören, ohne dass der Benutzer es bemerkt. Das Problem, aufgezeichnet als CVE-2026-2329 und qualifiziert mit einer hohen Schwere Punktzahl, betrifft mehrere Modelle der GXP1600 Reihe, die Firmware vor Version 1.0.7.81 laufen, einschließlich der GXP1610, GXP1615, GXP1620, GXP1625, GXP1628 und GXP1630 Modelle.
Die Entdeckung wurde von Rapid7-Forschern dokumentiert, die eine technische Analyse veröffentlichten, in der erläutert wird, wie die Web-Schnittstelle des Telefons - speziell der API-Service in / cgi-bin / api.values.get - einen Eintrag namens "Request" verarbeitet, der durch zwei Punkte getrennte Kennungen gebildet wird. Dieser Eintrag wird in einen 64 Byte Stack-Puffer kopiert, ohne die Länge zu überprüfen, was es ermöglicht, dass eine zu lange Kette benachbarte Speicher überschreiben und ermöglicht einem Angreifer, Schlüssel-CPU-Aufzeichnungen zu manipulieren, einschließlich der Ausführungsrichtung.
Die Operation erfordert keine Authentifizierung und kann durch ihre Natur entwickelt werden, ohne den sichtbaren Betrieb des Telefons zu unterbrechen: Anrufe und Schnittstelle funktionieren weiterhin normal, während der Angreifer Code im System läuft. Die Forscher zeigten ein Funktionsmodul für Metasploit, das entfernte Ausführung von Befehlen mit Root-Privilegien, die öffnet die Tür zu Aktionen wie Entfernen von lokal gespeicherten Anmeldeinformationen, Wiederherstellung von SIP-Konten und Neukonfiguration des Telefons, um eine bösartige SIP-Proxy, die Kommunikation umleitet oder registriert.
Aufbau der Betriebskette war eine technische Begrenzung: Überlauf erlaubt nur, an jedem Überlaufereignis einen Nullbyte als Terminator zu schreiben. Um dies zu überwinden, nutzten die Forscher die Art und Weise, wie der "Request"-Parameter durch zwei Punkte getrennte Kennungen verarbeitet wird und den Überlauf wiederholt mit mehreren Kennungen verursachte, wodurch die notwendigen Nils zur Montage einer zuverlässigen leistungsorientierten Rücklaufkette (ROP) eingeführt wurden. Rapid7 erklärt diese Details und veröffentlicht sowohl die Forschung als auch das Modul, das in seinen technischen Beiträgen verwendet wird: Allgemeine Analyse und technische Beschreibung des EQO und der Minderung.
Eine besondere Sorge ist, dass das Risiko nicht auf Telefone beschränkt ist, die direkt dem Internet ausgesetzt sind. Wenn ein Angreifer bereits eine interne Netzwerk-Präsenz hat - zum Beispiel durch ein anderes engagiertes Team - kann er die Telefone aus dem gleichen lokalen Netzwerk schwenken und angreifen. Darüber hinaus ist die Ausbeutung still und schwierig, ohne bestimmte Kontrollen zu erkennen, was das Zeitfenster erhöht, in dem ein Gegner Anmeldeinformationen und Gespräche sammeln kann.
Grandstream veröffentlichte eine Korrektur auf seiner Support-Website mit Firmware Version 1.0.7.81, die Schwachstelle in den betroffenen Modellen löst; die neueste Version kann heruntergeladen und auf der offiziellen Firmware-Seite des Unternehmens überprüft werden: Unterstützung von Unternehmen. Organisationen, die solche Geräte verwenden, in der Regel in kleinen und mittleren Unternehmen, Hotels, Schulen und Telefondienstleistern, sollten das Update so bald wie möglich implementieren.
Es reicht nicht aus, das Patch zu installieren: Da die Operation eine Seitennavigation und die Entfernung von Anmeldeinformationen erlauben kann, empfehlen gute Praktiken, die Telefoneinstellungen nach dem Update zu überprüfen, sensible Passwörter zu ändern und zu überprüfen, ob es unerwartet konfigurierte Proxy- oder SIP-Server gibt. Wenn es einen Verdacht auf Engagement gibt, ist es ratsam, das Gerät nach der Anwendung der gepatelten Firmware wieder auf Fabrikwerte zu wiederherstellen, Anmeldeinformationen und Audit-Netzwerk-Aufzeichnungen zu drehen, um anormalen Verkehr oder Verbindungen zu unbekannten Proxies zu identifizieren.
Wenn Sie zusätzliche Quelle für den Umfang und die Auswirkungen der Sicherheitslücke bevorzugen, haben spezialisierte Mittel bereits den Vorfall abgedeckt und technische Details und Empfehlungen gesammelt: zum Beispiel Bleeping Computers Abdeckung dieser Art von Ausfall bietet Kontext für Auswirkungen in Geschäftsumgebungen ( BlepingComputer) Um den CVE Public Record und seine Bewertung zu überprüfen, können Sie die NVD-Verwundbarkeitsdatenbank überprüfen: CVE-2026-2329 in NVD.
Praktisch sind die wichtigsten Empfehlungen für Manager und Sicherheitsbeamte: die Version 1.0.7.81 oder später in den betroffenen Modellen anwenden, den Zugriff auf die administrativen Schnittstellen- und Management-Ports von unzuverlässigen Netzwerken begrenzen, das Netzwerk so segmentieren, dass Telefone nicht Segment mit kritischen Vermögenswerten teilen und SIP-Konfigurationen und Sprachverkehr auf der Suche nach Umleitungen zu unbekannten Proxies überwachen. Darüber hinaus wird, einschließlich dieser Geräte in regelmäßigen Firmware-Inventar- und Update-Prozessen, die Wahrscheinlichkeit, dass eine ähnliche Sicherheitslücke in der Zukunft unverändert bleiben.
Dieser Vorfall ist eine Erinnerung, dass konvergente Geräte - IP-Telefone, integrierte Router und andere Infrastrukturgeräte - auch wertvolle Ziele für Angreifer sind, die die Kommunikation abfangen oder sich seitlich innerhalb von Unternehmensnetzwerken bewegen wollen. Das Aktualisieren der Software, die Anwendung von Zugriffskontrollen und die Prüfung der Konfiguration sind einfache, aber effektive Maßnahmen, um ein Risiko zu reduzieren, dass, obwohl nicht immer sichtbar, ernsthafte Konsequenzen für Vertraulichkeit und Service Kontinuität haben kann.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...