Компания HP выпустила исправления для критической уязвимости переполнения буфера в ряде IP-конференц-телефонов своей линейки Poly Voice. Эта уязвимость позволяет неаутентифицированным злоумышленникам получить права root в базовой операционной системе, что потенциально дает им возможность проводить другие атаки, такие как прослушивание разговоров и запись голосовых данных для атак с использованием ИИ-имитации.
Уязвимость, отслеживаемая как CVE-2026-0826, была обнаружена исследователями из компании Rapid7. Она находится в коде, который обрабатывает атрибуты протокола описания сеанса (SDP) при включенной функции Interactive Connectivity Establishment (ICE).
ICE позволяет VoIP-устройствам устанавливать одноранговые соединения, используя кратчайший доступный сетевой путь. Эта функция не включена по умолчанию на устройствах HP Poly, и компания рекомендует администраторам отключать ее, если она не требуется.
Уязвимость, получившая оценку 9.2 по шкале серьезности CVSS, затрагивает все телефоны серии HP Poly VVX, а также IP-конференц-устройства Trio 8300, 8500 и 8800. HP устранила уязвимость в версиях своего программного обеспечения Poly Unified Communications Software (UCS): 6.4.8 для устройств VVX, 8.1.7 для Trio 8300 и 7.2.8 для Trio 8500 и 8800.
Эксплойт для VoIP стал общедоступным для тестирования на проникновение
Модуль эксплойта, нацеленный на эту уязвимость, уже разработан и выпущен для широко используемого фреймворка для тестирования на проникновение Meta*sploit, который поддерживается Rapid7.
Эксплойт выполняет код с правами root на затронутом устройстве с включенным ICE путем отправки запроса SIP INVITE со специально сформированным атрибутом кандидата. Этот атрибут обычно содержит транспортный адрес, который может использоваться для проверок связности и является частью стандарта ICE RFC8839.
Ошибка переполнения буфера находится во вспомогательной функции с именем ParseICECandidate в бинарном файле polyapp, который обрабатывает такие запросы на устройстве.
«В начале функции содержится вызов memcpy, который копирует обрабатываемую входящую строковую строку в буфер стека размером 256 байт», — заявил Стивен Фьюэр, старший ведущий исследователь безопасности в Rapid7, в посте в блоге. «Проверка длины не выполняется, чтобы гарантировать, что длина входящей строки меньше 256 байт. Следовательно, предоставление атрибута кандидата, длина которого превышает 256 байт, приведет к переполнению буфера в стеке».
Рандомизация размещения адресного пространства (ASLR), функция ядра, которая рандомизирует адреса памяти для противодействия эксплойтам переполнения буфера, включена на устройстве. Однако защита работает некорректно на устройствах HP Poly, поскольку она не рандомизирует адреса загрузки библиотек .so (Shared Object).
Эти библиотеки, такие как libc, загружаются другими процессами, включая процесс polyapp, и поскольку их адреса памяти никогда не меняются, их можно использовать для обхода ASLR и выполнения полезной нагрузки злоумышленника.
«Мы создаем цепочку ROP, которая выполнит произвольную команду ОС через стандартную библиотечную функцию system C», — сказал Фьюэр. «Сопутствующий исходный код модуля эксплойта Meta*sploit подробно описывает всю цепочку ROP».
VoIP-телефоны — привлекательные цели
В последние годы злоумышленники все чаще нацеливаются на встраиваемые устройства в корпоративных сетях, поскольку, в отличие от ноутбуков, рабочих станций и серверов, эти устройства не отслеживаются продуктами EDR (endpoint detection and response). Таким образом, они предоставляют идеальные плацдармы внутри корпоративной среды, позволяя злоумышленникам оставаться незамеченными в течение длительного времени и атаковать другие системы.
В эпоху ИИ эти устройства становятся еще более актуальными для злоумышленников, выходя за рамки корпоративного шпионажа за счет записи разговоров или внутренней сетевой переброски.
«Злоумышленникам больше не нужны огромные наборы данных для использования инструментов синтетической речи», — отметил Дуглас МакКи, директор по разведке уязвимостей в Rapid7, в посте в блоге. «Во многих случаях им нужен только чистый исходный аудиоматериал нужного человека, произносящего достаточно слов в достаточном количестве контекстов. Это сделало данные голоса руководителей, записи звонков и захват живых разговоров гораздо более ценными, чем многие организации готовы признать».
Злоумышленники могут собирать аудиозаписи, а затем использовать дипфейки на основе ИИ для имитации руководителей в звонках сотрудникам и деловым партнерам с целью авторизации мошеннических транзакций, получения доступа к конфиденциальным системам и многого другого.
«Обеспокоенность вызывает не только то, что «кто-то может услышать что-то конфиденциальное»», — сказал МакКи. «Это было бы достаточно плохо. Более широкая проблема заключается в том, что голосовая инфраструктура теперь может одновременно поддерживать как традиционные цели шпионажа, так и современные операции по мошенничеству с использованием ИИ».
Facebook*, Instagram* и WhatsApp* принадлежат компании Meta* Platforms Inc., деятельность которой признана экстремистской и запрещена на территории Российской Федерации.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lucian Constantin
