Un fallo grave en la serie de teléfonos VoIP GXP1600 de Grandstream permite a un atacante remoto sin autenticar tomar control del equipo con privilegios de root y escuchar llamadas sin que el usuario lo note. El problema, registrado como CVE-2026-2329 y calificado con una puntuación alta de severidad, afecta a varios modelos de la gama GXP1600 que ejecutan firmware anterior a la versión 1.0.7.81, incluyendo los modelos GXP1610, GXP1615, GXP1620, GXP1625, GXP1628 y GXP1630.
El hallazgo fue documentado por investigadores de Rapid7, que publicaron un análisis técnico donde explican cómo la interfaz web del teléfono —concretamente el servicio API accesible en /cgi-bin/api.values.get— procesa una entrada llamada "request" formada por identificadores separados por dos puntos. Esa entrada se copia en un buffer de pila de 64 bytes sin comprobar la longitud, lo que hace posible que una cadena excesivamente larga sobrescriba memoria adyacente y permita a un atacante manipular registros clave del CPU, incluida la dirección de ejecución.
La explotación no exige autenticación y, por su naturaleza, puede desarrollarse sin interrumpir el funcionamiento visible del teléfono: las llamadas y la interfaz siguen funcionando con normalidad mientras el atacante ejecuta código en el sistema. Los investigadores demostraron un módulo funcional para Metasploit que consigue ejecución remota de comandos con privilegios de root, lo que abre la puerta a acciones como extraer credenciales almacenadas localmente, recuperar cuentas SIP y reconfigurar el teléfono para que utilice un proxy SIP malicioso que redirija o grabe las comunicaciones.
Construir la cadena de explotación implicó sortear una limitación técnica: el desbordamiento solo permite escribir un byte nulo como terminador en cada evento de overflow. Para superar esto, los investigadores aprovecharon la forma en que el parámetro "request" se procesa por identificadores separados por dos puntos y provocaron el desbordamiento repetidas veces con múltiples identificadores, logrando así introducir los nulos necesarios para montar una cadena de retorno orientada a la ejecución (ROP) fiable. Rapid7 explica estos detalles y publica tanto la investigación como el módulo utilizado en sus posts técnicos: análisis general y descripción técnica del CVE y mitigación.
Un aspecto especialmente preocupante es que el riesgo no se limita a los teléfonos expuestos directamente a Internet. Si un atacante ya dispone de presencia en la red interna —por ejemplo a través de otro equipo comprometido— puede hacer pivote y atacar los teléfonos desde dentro de la misma red local. Además, la explotación es silenciosa y difícil de detectar sin controles específicos, lo que aumenta la ventana de tiempo en la que un adversario puede recopilar credenciales y conversaciones.
Grandstream publicó una corrección en su sitio de soporte con la versión de firmware 1.0.7.81, que resuelve la vulnerabilidad en los modelos afectados; se puede descargar y verificar la última versión en la página oficial de firmware de la compañía: soporte de firmware de Grandstream. Las organizaciones que utilizan equipos de esta línea, habitualmente presentes en pequeñas y medianas empresas, hoteles, escuelas y proveedores de servicios de telefonía, deben aplicar la actualización lo antes posible.
No basta con instalar el parche: dado que la explotación puede permitir navegación lateral y extracción de credenciales, las buenas prácticas recomiendan comprobar la configuración del teléfono tras la actualización, cambiar contraseñas sensibles y revisar si hay proxies o servidores SIP configurados de forma inesperada. Si existe sospecha de compromiso, lo prudente es restablecer el dispositivo a valores de fábrica después de aplicar el firmware parcheado, rotar credenciales y auditar los registros de la red para identificar tráfico anómalo o conexiones hacia proxies desconocidos.
Si prefieres fuente adicional sobre el alcance y las implicaciones de la vulnerabilidad, medios especializados ya han cubierto el incidente y recogen detalles técnicos y recomendaciones: por ejemplo, la cobertura de Bleeping Computer sobre este tipo de fallos proporciona contexto sobre el impacto en entornos empresariales (BleepingComputer). Para comprobar la ficha pública del CVE y su calificación puedes consultar la base de datos de vulnerabilidades del NVD: CVE-2026-2329 en NVD.
En términos prácticos, las recomendaciones clave para administradores y responsables de seguridad son: aplicar la versión 1.0.7.81 o posterior en los modelos afectados, limitar el acceso a la interfaz administrativa y a puertos de gestión desde redes no confiables, segmentar la red para que los teléfonos no compartan segmento con activos críticos y monitorizar configuraciones SIP y tráfico de voz en busca de redireccionamientos a proxies desconocidos. Además, incluir estos dispositivos en los procesos regulares de inventario y actualización firmware reducirá la probabilidad de que una vulnerabilidad similar permanezca sin parchear en el futuro.
Este incidente es un recordatorio de que los dispositivos convergentes —teléfonos IP, routers integrados y otros aparatos de infraestructura— también son objetivos valiosos para atacantes que buscan interceptar comunicaciones o moverse lateralmente dentro de redes corporativas. Mantener el software actualizado, aplicar controles de acceso y auditar la configuración son medidas sencillas pero eficaces para reducir un riesgo que, aunque no siempre visible, puede tener consecuencias graves para la confidencialidad y la continuidad del servicio.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...