GrandstreamのGXP1600シリーズVoIP電話に、認証なしでリモートコード実行を許す深刻な脆弱性が発見されました。CVSSスコア9.3という極めて高い危険度を持つこの脆弱性は、企業のVoIP通信基盤に重大なリスクをもたらします。影響を受けるデバイスを使用している場合、ただちにファームウェアの更新が必要です。
この記事のポイント
- GXP1600シリーズに認証不要のスタックベースバッファオーバーフロー脆弱性(CVE-2026-2329、CVSS 9.3)が発見された
- 攻撃者はroot権限でリモートコード実行が可能で、VoIP通話の盗聴にも悪用されうる
- Grandstreamはファームウェアバージョン1.0.7.81で修正済み、早急なアップデートが推奨される
脆弱性の技術的詳細
この脆弱性は、デバイスのWebベースAPIサービスに存在します。具体的には、/cgi-bin/api.values.getエンドポイントがデフォルト設定では認証なしでアクセス可能な状態になっています。このエンドポイントは「request」パラメータを通じてコロン区切りの文字列で設定値を取得する仕組みですが、ここに致命的な欠陥がありました。
Rapid7の研究者Stephen Fewer氏の分析によると、64バイトの小さなバッファに文字を追加する際に、63文字(終端のヌル文字を含む)を超えないようにする長さチェックが一切行われていませんでした。攻撃者は悪意のあるリクエストを送信するだけで、64バイトのスタックバッファをオーバーフローさせ、隣接するメモリ領域を破壊し、最終的にroot権限でのリモートコード実行を達成できます。認証が不要なため、ネットワーク上でデバイスにアクセスできれば誰でも攻撃を実行できる点が特に危険です。
影響を受けるモデルと攻撃シナリオ
影響を受けるのは、GXP1600シリーズの以下のモデルです:GXP1610、GXP1615、GXP1620、GXP1625、GXP1628、GXP1630。これらは企業や組織で広く使われているIP電話端末であり、影響範囲は非常に広いと考えられます。
実証された攻撃シナリオでは、攻撃者がこの脆弱性を悪用して対象デバイスを再構成し、悪意のあるSIPプロキシを使用するように設定を変更できることが示されました。これにより、VoIP通信の傍受や盗聴が可能になります。企業の内部通話が盗聴されるリスクがあるため、機密情報の漏洩につながる可能性があります。
対策と修正ファームウェア
Grandstreamは2026年1月下旬にファームウェアバージョン1.0.7.81をリリースし、この脆弱性に対処しました。影響を受けるモデルを使用している組織は、ただちにファームウェアを更新する必要があります。ファームウェアの更新が即座にできない場合は、デバイスのWeb管理インターフェースへのネットワークアクセスを制限することが暫定的な緩和策となります。
知っておくと便利なTips
- VoIPデバイスの管理インターフェースは、管理VLANなどの分離されたネットワークに配置し、一般ネットワークからのアクセスを制限するのがベストプラクティスです
- IoT・組み込みデバイスのファームウェア更新は見落とされがちですが、定期的な脆弱性情報のチェックと迅速なパッチ適用が重要です
- CVSS 9.0以上の脆弱性は「Critical」に分類され、攻撃コードが公開される前に対処することが不可欠です
まとめ
今回のGrandstream GXP1600シリーズの脆弱性は、認証なしでroot権限のリモートコード実行を許すという極めて深刻なものです。CVSSスコア9.3が示す通り、攻撃の容易さと影響の大きさの両面で最高レベルの危険度を持っています。VoIP電話はネットワークインフラの一部でありながら、PCやサーバーほど注意が払われないことが多く、攻撃者にとっての格好の標的となります。該当デバイスを使用している場合は、修正ファームウェア1.0.7.81へのアップデートを最優先で実施してください。また、これを機にネットワーク上のすべてのVoIPデバイスのセキュリティ設定を見直すことを強くお勧めします。
📎 元記事: https://thehackernews.com/2026/02/grandstream-gxp1600-voip-phones-exposed.html
コメント