Grandstream社のGXP1600シリーズVoIP電話における重大なゼロデイ脆弱性(CVE-2026-2329)が発見され、認証不要でroot権限でのリモートコード実行が可能。
このスタックベースのバッファオーバーフロー脆弱性はTCPポート80上のウェブベースAPIサービスに影響を及ぼし、デフォルト設定ではいかなる認証もなしにアクセス可能。
6つのモデル全て(GXP1610、GXP1615、GXP1620、GXP1625、GXP1628、GXP1630)は同じファームウェアイメージを共有しており、バージョン1.0.7.79までが脆弱。
この脆弱性はCVSSv4スコアで9.3(Critical)を記録しており、CWE-121:スタックベースバッファオーバーフロー由来で、ネットワークアクセス可能な攻撃を低複雑性で実行可能。
Grandstream社は2026年1月30日にファームウェアバージョン1.0.7.81をリリースし、この問題を完全に修復するセキュリティ脆弱性の修正を明示的に記載。
これらのエントリーレベルIP電話を小規模企業や企業で使用している組織は、SIPプロトコルを通じた機密音声通信を扱うことが多いため、高いリスクに直面。
脆弱なエンドポイント/cgi-bin/api.values.Getは、HTTPポストリクエストを処理し、ファームウェアバージョンやモデルなどの設定値を取得するためにコロン区切り識別子を含む「request」パラメータを使用。
gs_webバイナリ(32ビットARM Little Endian)では、このパラメータを反復処理するコードが、64バイト固定スタックバッファ(small_buffer)に範囲チェックなしで文字を追記。
63文字とヌル文字を超える入力によってバッファオーバーフローがトリガされ、隣接するスタックメモリ(プログラムカウンタ(PC)を含む)が破壊される。これはGDBデバッグとコアダンプで確認。
セキュリティ対策は弱く、RELRO、カナリア、PIE、fortify_sourceはなく、NXビットのみがスタック実行を防止。
悪用にはリターン指向プログラミング(ROP)チェーンを使用し、非PIEロードアドレス0x00008000で予測可能なガジェットを活用。複数のコロンによるオーバーフローでヌル文字の配置を正確に行い、system()およびexit()を呼び出すROPペイロード用のヌル制限を克服。
攻撃者はシェルアクセスを取得し、任意のコマンドを実行し、SIPプロキシを再設定して通話を傍受し、インフラストラクチャに応じて盗聴、不正通話、または詐欺が可能。
GitHubプルリクエスト#20983の公開PoC(概念実証)コードは攻撃を自動化し、露出したデバイスへの脅威を高める。
2026年1月6日にStephen Fewerによって発見され、調整された開示により2月2日までにパッチ適用。
野生での悪用報告はまだだが、その自明の性質により、金融、政府、中小企業のVoIPをターゲットにする日和見攻撃者やAPTにとって魅力的。
対策には即座のファームウェアアップデート、VoIPを隔離するためのネットワークセグメンテーション、可能な限りウェブインターフェースを無効化する必要があり、runZeroなどのツールが資産発見を支援。
翻訳元: https://cyberpress.org/grandstream-gxp1600-rce-exploit/