Vulnerabilidad crítica en teléfonos VoIP Grandstream GXP1600 permite ejecución remota
Publicado el
Vulnerabilidad en teléfonos VoIP Grandstream GXP1600
Recientemente, se ha descubierto una vulnerabilidad crítica en la serie de teléfonos VoIP Grandstream GXP1600 que podría permitir a un atacante tomar control de los dispositivos afectados. Esta vulnerabilidad, identificada como CVE-2026-2329, tiene un CVSS de 9.3 sobre un máximo de 10.0, lo que la convierte en un grave riesgo de seguridad.
La falla se clasifica como un desbordamiento de búfer basado en pila sin autenticación, que puede resultar en ejecución remota de código (RCE). Según Stephen Fewer, investigador de Rapid7 y descubridor del problema, un atacante remoto puede aprovechar esta vulnerabilidad para obtener privilegios de root en el dispositivo objetivo.
Origen de la vulnerabilidad
La raíz del problema está en el servicio API basado en web del dispositivo, accesible en su configuración predeterminada sin requerir autenticación. El endpoint problemático, `/cgi-bin/api.values.get`, está diseñado para recuperar valores de configuración del teléfono, como la versión del firmware o el modelo, a través de un parámetro de solicitud que puede ser manipulado por un atacante.
El proceso de manejo de este parámetro no incluye una verificación de longitud, lo que permite que un atacante envíe un parámetro de solicitud manipulado que sobrescriba la memoria del stack, provocando un desbordamiento. Esto puede llevar a la corrupción del contenido del stack y, en consecuencia, a la ejecución de código en el sistema operativo subyacente.
Modelos afectados
La vulnerabilidad afecta a varios modelos, incluyendo GXP1610, GXP1615, GXP1620, GXP1625, GXP1628 y GXP1630. Recientemente, se ha lanzado una actualización de firmware (versión 1.0.7.81) que corrige este problema.
En un módulo de explotación desarrollado por Rapid7, se ha demostrado que esta vulnerabilidad puede ser utilizada para obtener privilegios de root y, además, encadenarse con componentes de post-explotación para extraer credenciales almacenadas en dispositivos comprometidos.
Consecuencias potenciales
Las capacidades de ejecución remota de código pueden ser utilizadas para reconfigurar el dispositivo objetivo y dirigirlo a usar un proxy SIP malicioso. Esto permitiría a los atacantes interceptar llamadas telefónicas y espiar conversaciones VoIP. Un proxy SIP actúa como un servidor intermediario en redes VoIP, gestionando la conexión y administración de llamadas entre los puntos finales.
Douglas McKee de Rapid7 advierte que, aunque no es un exploit sencillo de ejecutar, la vulnerabilidad reduce significativamente las barreras para los atacantes, lo que debería preocupar a quienes operan estos dispositivos en entornos expuestos o poco segmentados.
Conclusión
Es fundamental que los usuarios de los teléfonos VoIP Grandstream GXP1600 apliquen la actualización de firmware proporcionada para mitigar este riesgo. La vigilancia constante y la implementación de medidas de seguridad adecuadas son esenciales para proteger las comunicaciones de posibles amenazas.