Uma vulnerabilidade crítica descoberta na série de telefones VoIP Grandstream GXP1600 permite que utilizadores mal-intencionados obtenham privilégios de raiz de forma remota e sem qualquer autenticação, passando a conseguir escutar as comunicações de forma silenciosa. Estes equipamentos são amplamente utilizados em pequenas e médias empresas, escolas, hotéis e por fornecedores de serviços de telefonia pela internet em todo o mundo.
A falha, registada como CVE-2026-2329, recebeu uma pontuação de gravidade de 9.3. O problema afeta seis modelos específicos da linha GXP1600 que estejam a correr versões de firmware anteriores à 1.0.7.81, nomeadamente as unidades GXP1610, GXP1615, GXP1620, GXP1625, GXP1628 e GXP1630.
O perigo silencioso nas redes empresariais
Mesmo que um destes telefones não esteja diretamente exposto ou acessível através da internet pública, a intrusão pode ocorrer. Um ataque pode ser iniciado a partir de outro computador ou dispositivo que já se encontre comprometido na mesma rede local. A exploração do problema acontece de forma completamente invisível para a vítima, com o equipamento a continuar a funcionar sem apresentar qualquer anomalia.
Segundo o relatório técnico publicado pela Rapid7, a origem desta vulnerabilidade encontra-se no serviço de API baseado na web do próprio dispositivo. Nas configurações de origem, este serviço está acessível sem requerer qualquer tipo de autenticação. A API aceita pedidos que contêm identificadores separados por dois pontos, processando essa informação para um espaço de memória sem verificar o limite de tamanho dos caracteres introduzidos.
Acesso total e interceção de áudio
Esta ausência de verificação permite a injeção de dados excessivamente longos, causando uma sobrecarga na memória. Ao reescrever o espaço adjacente, o invasor consegue assumir o controlo de múltiplos registos do processador. Para ultrapassar restrições técnicas que limitavam a escrita de código malicioso, os investigadores utilizaram múltiplos identificadores para acionar a sobrecarga de forma repetida, construindo a cadeia necessária para dominar o sistema.
A equipa de investigação chegou mesmo a desenvolver um módulo prático para demonstrar a execução remota de código. Com este nível de acesso, é possível extrair as credenciais guardadas dos utilizadores locais e das contas SIP. Mais grave ainda, o sistema pode ser reconfigurado para utilizar um intermediário SIP malicioso, o que concede aos intrusos a capacidade de escutar todas as chamadas realizadas e recebidas no aparelho.
Atualização de firmware já disponível
Os responsáveis pela descoberta tentaram contactar a Grandstream no dia 6 de janeiro e novamente a 20 de janeiro, sem obterem qualquer resposta inicial.
A fabricante acabou por resolver a questão de segurança no dia 3 de fevereiro, com o lançamento da versão de firmware 1.0.7.81. A recomendação urgente para todos os administradores de sistemas e empresas que utilizem os modelos afetados é a aplicação imediata desta atualização de segurança.
Nenhum comentário
Seja o primeiro!