Um erro grave na série de telefones VoIP GXP1600 de Grandstream permite que um atacante remoto sem autenticar o controle da equipe com privilégios de root e ouvir chamadas sem que o usuário o note. O problema, registrado como CVE-2026-2329 e qualificado com pontuação alta de severidade, afeta vários modelos da gama GXP1600 que executam firmware anterior à versão 1.0.7.81, incluindo os modelos GXP1610, GXP1615, GXP1620, GXP1625, GXP1628 e GXP1630.
O achado foi documentado por pesquisadores do Rapid7, que publicaram uma análise técnica onde explicam como a interface web do telefone — concretamente o serviço API acessível em /cgi-bin/api.values.get — processa uma entrada chamada "request" formada por identificadores separados por dois pontos. Essa entrada é copiada em um buffer de pilha de 64 bytes sem verificar o comprimento, o que torna possível que uma cadeia excessivamente longa sobrescreva memória adjacente e permita a um atacante manipular registos chave do CPU, incluindo o endereço de execução.
A exploração não exige autenticação e, por sua natureza, pode desenvolver-se sem interromper o funcionamento visível do telefone: as chamadas e a interface continuam a funcionar normalmente enquanto o atacante executa código no sistema. Os pesquisadores demonstraram um módulo funcional para Metasploit que consegue execução remota de comandos com privilégios de root, o que abre a porta para ações como extrair credenciais armazenadas localmente, recuperar contas SIP e reconfigurar o telefone para que use um proxy SIP malicioso que redirecione ou grabe as comunicações.
Construir a cadeia de exploração implicou sortear uma limitação técnica: o transbordamento só permite escrever um byte nulo como terminador em cada evento de overflow. Para superar isso, os pesquisadores aproveitaram a forma como o parâmetro "request" é processado por identificadores separados por dois pontos e provocaram o transbordamento repetidas vezes com múltiplos identificadores, conseguindo assim introduzir os nulos necessários para montar uma cadeia de retorno orientada para a execução (ROP) confiável. Rapid7 explica estes detalhes e publica tanto a pesquisa quanto o módulo usado em seus posts técnicos: análise geral e descrição técnica do CVE e mitigação.
Um aspecto particularmente preocupante é que o risco não se limita aos telefones expostos diretamente à Internet. Se um atacante já tiver presença na rede interna — por exemplo através de outro equipamento comprometido — pode fazer pivote e atacar os telefones dentro da mesma rede local. Além disso, a exploração é silenciosa e difícil de detectar sem controles específicos, o que aumenta a janela de tempo em que um adversário pode coletar credenciais e conversas.
Grandstream publicou uma correção em seu site de suporte com a versão do firmware 1.0.7.81, que resolve a vulnerabilidade nos modelos afetados; pode ser baixado e verificado a última versão na página oficial do firmware da empresa: Suporte de firmware de Grandstream. As organizações que utilizam equipamentos desta linha, geralmente presentes em pequenas e médias empresas, hotéis, escolas e prestadores de serviços de telefonia, devem aplicar a atualização o mais rapidamente possível.
Não basta instalar o adesivo: dado que a exploração pode permitir navegação lateral e extração de credenciais, as boas práticas recomendam verificar a configuração do telefone após a atualização, mudar senhas sensíveis e revisar se há proxies ou servidores SIP configurados de forma inesperada. Se houver suspeita de compromisso, o prudente é restabelecer o dispositivo a valores de fábrica depois de aplicar o firmware adesivo, rotar credenciais e auditar os registros da rede para identificar tráfego anormal ou conexões para proxies desconhecidos.
Se você prefere fontes adicionais sobre o alcance e as implicações da vulnerabilidade, meios especializados já cobriram o incidente e recolhem detalhes técnicos e recomendações: por exemplo, a cobertura da Bleeping Computer sobre este tipo de falhas proporciona contexto sobre o impacto em ambientes empresariais ( BleepingComputer). Para verificar a ficha pública do CVE e sua qualificação, você pode consultar a base de dados de vulnerabilidades do NVD: CVE-2026-2329 em NVD.
Em termos práticos, as recomendações-chave para administradores e responsáveis pela segurança são: aplicar a versão 1.0.7.81 ou posterior nos modelos afetados, limitar o acesso à interface administrativa e a portos de gestão de redes não confiáveis, segmentar a rede para que os telefones não partilhem segmento com ativos críticos e monitorar configurações SIP e tráfego de voz em busca de direcionamentos a proxies desconhecidos. Além disso, incluir esses dispositivos nos processos regulares de inventário e atualização firmware reduzirá a probabilidade de uma vulnerabilidade similar permanecer sem adesivo no futuro.
Este incidente é um lembrete de que os dispositivos convergentes — teléfonos IP, roteadores integrados e outros aparelhos de infraestrutura — também são objetivos valiosos para atacantes que buscam interceptar comunicações ou mover-se lateralmente dentro de redes corporativas. Manter o software atualizado, aplicar controles de acesso e auditar a configuração são medidas simples, mas eficazes para reduzir um risco que, embora nem sempre visível, pode ter consequências graves para a confidencialidade e a continuidade do serviço.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...