HP Poly Voice VoIPフォンの複数モデルに、深刻度の高い脆弱性が発見されました。この脆弱性を悪用されると、root権限によるリモートコード実行(RCE)が可能となり、企業ネットワークへの侵入口を攻撃者に与えてしまうと、Rapid7が警告しています。
CVE-2026-0826として追跡されているこの脆弱性(CVSSスコア9.2)は、Session Description Protocol(SDP)属性のパース処理におけるスタックベースのバッファオーバーフローとして説明されており、Interactive Connectivity Establishment(ICE)機能が有効なデバイスに影響を与えます。
このセキュリティ上の欠陥は、candidateアトリビュートの各コンポーネントをパースする関数に存在し、ICEが有効な場合のSIPデータ処理中に当該パース関数が呼び出されます。
「candidateアトリビュートは、接続性確認に使用できる候補のトランスポートアドレスを格納するためのものです」とRapid7は説明しています。
パーサーは受け取った文字列を長さチェックなしに256バイトのスタックバッファにコピーするため、それを超える長さのcandidateアトリビュートを送信することでバッファオーバーフローを引き起こすことが可能です。
攻撃者は、悪意あるcandidateアトリビュートを含むSIP INVITEリクエストを送信することでこの脆弱性を悪用できます。これによりクラッシュが発生し、プログラムカウンタ、汎用レジスタ、スタックポインタ内のデータを攻撃者が制御できるようになります。
スタック上のデータ実行を防ぐASLRおよびNo Execute(NX)の緩和策を回避するため、攻撃者はnullバイトを含むReturn Oriented Programming(ROP)チェーンを使用することで、任意コードの実行を実現できます。
この脆弱性は、HP VVXシリーズ(VVX 150、VVX 250、VVX 350、VVX 450)およびTrio IP Conferenceシリーズ(Trio 8800、Trio 8500、Trio 8300)のVoIPフォンで確認されており、すべてのモデルに対してパッチが提供されています。
ICE接続機能が不要な環境では無効化することで本脆弱性のリスクを軽減できますが、根本的な対策としては、管理者はPoly Voiceデバイスのファームウェアをパッチ適用済みのバージョンに更新することが推奨されます。
Rapid7の脆弱性インテリジェンス担当ディレクターであるDouglas McKee氏によれば、最大の問題はこれらのデバイスが会議室、オフィス、ヘルプデスク、病院のナースステーションなど、本来は信頼されている場所に設置されていることだといいます。
「このような環境での侵害は、単にデバイスへのアクセスにとどまりません。そのアクセスが何を可能にするか、それが問題なのです」とMcKee氏は指摘しています。同氏はさらに、これらのデバイスにはエンドポイント保護ソフトウェアが導入されていないのが一般的であり、環境内への持続的な足がかりを築いたうえで通信を傍受したり、横移動を行ったりするために悪用される可能性があると説明しています。
「役員室や会議室に置かれた侵害済みのデスクフォンは、単に機密情報の盗聴手段にとどまりません。ビッシング、ディープフェイク、ソーシャルエンジニアリング、さらには不正な金融取引の承認試みに再利用できる音声データの収集拠点にもなり得るのです」とMcKee氏は述べています。
