このリモートコード実行の欠陥により、HP Poly VoIP電話機でルートアクセスが可能となり、盗聴やディープフェイク生成に使用する音声収集など、さまざまな攻撃が実行可能になります。
HPは、Poly Voiceラインの複数のIPカンファレンス電話機に存在する深刻なバッファオーバーフロー脆弱性のパッチをリリースしました。この脆弱性を悪用すると、未認証の攻撃者がOS上のルート権限を取得でき、会話の盗聴やAIによるなりすまし攻撃に使用する音声データの録音といった二次攻撃が可能になります。
この脆弱性はCVE-2026-0826として追跡されており、セキュリティ企業Rapid7の研究者が発見しました。Interactive Connectivity Establishment(ICE)機能が有効な際に、Session Description Protocol(SDP)の属性を解析するコードに存在します。
ICEは、VoIPデバイスが最短ネットワーク経路を使ってピアツーピア接続を確立するための機能です。HP Polyデバイスではデフォルトで無効化されており、同社は不要な場合は管理者が無効にするよう推奨しています。
CVSSスコア9.2と評価されたこの脆弱性は、HP Poly VVXシリーズのすべての電話機と、Trio 8300、8500、8800 IPカンファレンスデバイスに影響します。HPはPoly Unified Communications Software(UCS)において、VVXデバイス向けはバージョン6.4.8、Trio 8300向けは8.1.7、Trio 8500および8800向けは7.2.8で修正しています。
ペネトレーションテスト用に公開済みのVoIPエクスプロイト
この脆弱性を標的としたエクスプロイトモジュールは、Rapid7がメンテナンスする広く普及したMetasploitペネトレーションテストフレームワーク向けにすでに開発・公開されています。
このエクスプロイトは、ICEが有効なデバイスに対して、特別に細工されたcandidateアトリビュートを含むSIP INVITEリクエストを送信することで、ルート権限によるコード実行を行います。このアトリビュートは通常、接続確認に使用されるトランスポートアドレスを含むもので、ICE RFC8839標準の一部です。
このバッファオーバーフローのバグは、デバイス上でそのようなリクエストを処理するpolyappバイナリ内のParseICECandidateというヘルパー関数に存在します。
「この関数の冒頭にはmemcpyへの呼び出しがあり、処理対象の受信文字列を256バイトのスタックバッファにコピーします」と、Rapid7のシニアプリンシパルセキュリティリサーチャーであるStephen Fewerはブログ投稿で述べています。「受信文字列の長さが256バイト未満であることを確認する長さチェックが行われません。そのため、256バイトを超えるcandidateアトリビュートを渡すことで、スタックベースのバッファオーバーフローが発生します。」
カーネル機能であるAddress Space Layout Randomization(ASLR)は、メモリアドレスをランダム化することでバッファオーバーフローエクスプロイトを無効化するものであり、デバイス上で有効になっています。ただし、HP Polyデバイスでは.so(共有オブジェクト)ライブラリのロードアドレスがランダム化されないため、この保護機能が正しく機能していません。
libcなどのこれらのライブラリはpolyappプロセスを含む他のプロセスから読み込まれており、メモリアドレスが固定されているため、ASLRを回避して攻撃者のペイロードを実行する手段として悪用されます。
「私たちは、system標準Cライブラリ関数を介して任意のOSコマンドを実行するROPチェーンを作成しました」とFewerは述べています。「付属のMetasploitエクスプロイトモジュールのソースコードに、ROPチェーン全体の詳細が記載されています。」
攻撃者にとって魅力的なターゲット、VoIP電話機
攻撃者は近年、企業ネットワーク内の組み込みデバイスをますます標的にするようになっています。ラップトップ、ワークステーション、サーバーとは異なり、これらのデバイスはエンドポイント検出・対応(EDR)製品による監視対象ではないためです。そのため、攻撃者が長期間発見されることなく潜伏し、他のシステムを攻撃することを可能にする、企業環境内の格好の足がかりとなっています。
AIの時代において、これらのデバイスは攻撃者にとってさらに重要性を増しています。会話の録音や内部ネットワークの横断的侵害にとどまらず、企業スパイ活動にまで活用される可能性があります。
「攻撃者はもはや、合成音声ツールを活用するために大規模なデータセットを必要としていません」と、Rapid7の脆弱性インテリジェンスディレクターであるDouglas McKeeはブログ投稿で述べています。「多くの場合、必要なのはターゲットとなる人物が十分な文脈でさまざまな言葉を話している、クリアな音声データだけです。これにより、幹部の音声データ、通話録音、ライブ会話のキャプチャは、多くの組織が認識しているよりもはるかに価値の高い標的となっています。」
攻撃者は音声を収集したうえでAIディープフェイクを使って幹部を装い、従業員やビジネスパートナーへの電話で不正な取引を承認させたり、機密システムへのアクセスを取得したりするおそれがあります。
「懸念されるのは単に『誰かが機密情報を聞くかもしれない』ということではありません」とMcKeeは述べています。「それだけでも十分に深刻ですが、より大きな問題は、音声インフラが従来のスパイ活動と現代のAIを活用した詐欺行為を同時に支援できる環境が整いつつあるということです。」
