Une grave défaillance de la série de téléphones VoIP GXP1600 de Grandstream permet à un attaquant à distance non authentifié de prendre le contrôle de l'équipe avec des privilèges racine et d'écouter les appels sans que l'utilisateur le remarque. Le problème, enregistré comme CVE-2026-2329 et qualifié avec un score de sévérité élevé, affecte plusieurs modèles de la gamme GXP1600 qui exécutent le firmware avant la version 1.0.7.81, y compris les modèles GXP1610, GXP1615, GXP1620, GXP1625, GXP1628 et GXP1630.
La constatation a été documentée par des chercheurs de Rapid7, qui ont publié une analyse technique expliquant comment l'interface Web du téléphone - en particulier le service API accessible dans / cgi-bin / api.values.get - traite une entrée appelée « demande » formée par des identifiants séparés par deux points. Cette entrée est copiée dans un tampon de 64 octets sans vérifier la longueur, ce qui permet à une chaîne trop longue d'écraser la mémoire adjacente et permet à un attaquant de manipuler les enregistrements clés CPU, y compris la direction d'exécution.
L'opération ne nécessite pas d'authentification et, de par sa nature, peut être développée sans interrompre le fonctionnement visible du téléphone : les appels et l'interface continuent à fonctionner normalement pendant que l'attaquant lance le code dans le système. Les chercheurs ont démontré un module fonctionnel pour Metasploit qui obtient l'exécution à distance de commandes avec des privilèges root, qui ouvre la porte à des actions telles que la suppression des identifiants stockés localement, la récupération des comptes SIP et la reconfiguration du téléphone pour utiliser un proxy SIP malveillant qui redirige ou enregistre les communications.
La construction de la chaîne d'exploitation impliquait une limitation technique : le débordement permet seulement d'écrire un octet nul comme terminateur à chaque événement de débordement. Pour surmonter cela, les chercheurs ont profité de la façon dont le paramètre "demande" est traité par des identifiants séparés par deux points et ont causé le débordement à plusieurs reprises avec plusieurs identifiants, introduisant ainsi les zéros nécessaires pour monter une chaîne de retour fiable axée sur les performances (ROP). Rapid7 explique ces détails et publie à la fois la recherche et le module utilisés dans ses postes techniques: analyse générale et description technique de l'OQE et de l'atténuation.
Une préoccupation particulière est que le risque ne se limite pas aux téléphones directement exposés à Internet. Si un attaquant a déjà une présence réseau interne - par exemple par l'intermédiaire d'une autre équipe engagée - il peut pivoter et attaquer les téléphones à partir du même réseau local. En outre, l'exploitation est silencieuse et difficile à détecter sans contrôles spécifiques, ce qui augmente la fenêtre de temps dans laquelle un adversaire peut collecter des identifiants et des conversations.
Grandstream a affiché une correction sur son site de support avec la version 1.0.7.81 du firmware, qui résout la vulnérabilité dans les modèles touchés; la dernière version peut être téléchargée et vérifiée sur la page officielle du firmware de l'entreprise: Support du firmware Grandstream. Les organisations qui utilisent de tels équipements, généralement dans les petites et moyennes entreprises, les hôtels, les écoles et les fournisseurs de services téléphoniques, devraient mettre en œuvre la mise à jour dès que possible.
Il ne suffit pas d'installer le patch : puisque l'opération peut permettre la navigation latérale et la suppression des identifiants, les bonnes pratiques recommandent de vérifier les paramètres du téléphone après la mise à jour, de modifier les mots de passe sensibles et de vérifier s'il existe des serveurs mandataires ou SIP configurés de façon inattendue. S'il y a un soupçon d'engagement, il est sage de restaurer l'appareil à des valeurs d'usine après l'application du firmware patché, de faire pivoter les identifiants et de vérifier les dossiers réseau pour identifier le trafic anormal ou les connexions à des mandataires inconnus.
Si vous préférez une source supplémentaire sur la portée et les implications de la vulnérabilité, des moyens spécialisés ont déjà couvert l'incident et recueilli des détails techniques et des recommandations: par exemple, la couverture de ce type de défaillance par Bleeping Computer fournit un contexte pour l'impact dans les environnements commerciaux ( Calculateur). Pour vérifier le dossier public CVE et sa notation, vous pouvez consulter la base de données de vulnérabilité NVD : CVE-2026-2329 en NVD.
Concrètement, les principales recommandations à l'intention des gestionnaires et des responsables de la sécurité sont les suivantes : appliquer la version 1.0.7.81 ou ultérieure dans les modèles concernés, limiter l'accès à l'interface administrative et aux ports de gestion à partir de réseaux peu fiables, segmenter le réseau afin que les téléphones ne partagent pas de segment avec des actifs critiques et surveiller les configurations SIP et le trafic vocal à la recherche de redirections vers des mandataires inconnus. De plus, l'inclusion de ces appareils dans les processus réguliers d'inventaire et de mise à jour des micrologiciels réduira la probabilité qu'une vulnérabilité semblable ne soit pas atteinte à l'avenir.
Cet incident est un rappel que les appareils convergents - téléphones IP, routeurs intégrés et autres dispositifs d'infrastructure - sont également des cibles précieuses pour les attaquants qui cherchent à intercepter les communications ou à se déplacer latéralement dans les réseaux d'entreprise. La mise à jour du logiciel, l'application de contrôles d'accès et l'audit de la configuration sont des mesures simples mais efficaces pour réduire le risque que, bien qu'il ne soit pas toujours visible, cela puisse avoir de graves conséquences pour la confidentialité et la continuité du service.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...