كشف باحثون في مجال الأمن السيبراني عن ثغرة أمنية خطيرة في هواتف VoIP من سلسلة Grandstream GXP1600، قد تسمح للمهاجم بالسيطرة الكاملة على الأجهزة المتأثرة. وتُعرف هذه الثغرة بـ CVE-2026-2329، وتحمل درجة خطورة عالية تبلغ 9.3 من 10، وتشكل تهديداً كبيراً لأمن الشبكات، خاصة في بيئات العمل الحساسة.
وصفت الثغرة بأنها تجاوز للمخزن المؤقت (Buffer Overflow) يعتمد على الستاك (Stack-based) دون الحاجة للمصادقة، مما يسمح بتنفيذ تعليمات برمجية عن بعد. وقد تم اكتشافها من قبل الباحث ستيفن فيور من شركة Rapid7، الذي أشار إلى أن باستغلال هذه الثغرة يمكن للمهاجم الحصول على صلاحيات الجذر (Root Privileges) على الجهاز المستهدف.
ثغرة CVE-2026-2329 تهدد هواتف Grandstream
تقع المشكلة الأساسية في خدمة واجهة برمجة التطبيقات المستندة إلى الويب (Web-based API) الخاصة بالأجهزة، وتحديداً المسار “/cgi-bin/api.values.get”. والجدير بالذكر أن هذه الخدمة متاحة في الإعدادات الافتراضية دون الحاجة لأي خطوات مصادقة، مما يسهل على المهاجمين الوصول إليها.
تم تصميم هذه الواجهة لجلب معلومات تكوين أساسية من الهاتف، مثل رقم إصدار البرنامج الثابت (Firmware Version) أو طراز الجهاز. يتم ذلك عبر سلسلة من المعرفات مفصولة بنقطتين (:). وعند معالجة هذه السلسلة، يتم إلحاقها بمخزن مؤقت على الستاك بحجم 64 بايت.
ومع ذلك، لا يوجد فحص لطول البيانات المدخلة للتأكد من أنها لا تتجاوز حجم المخزن المخصص. وهذا يسمح للمهاجم بإرسال بيانات أكبر من اللازم، مما يؤدي إلى تجاوز حدود المخزن المتاح على الستاك. بالتالي، يتم الكتابة فوق مناطق الذاكرة المجاورة، وهو ما يُعرف بتجاوز المخزن المؤقت.
تفاصيل الاستغلال والتأثيرات
يمكن للمهاجم استخدام هذا الخلل لإرسال طلب HTTP يحتوي على سلسلة “request” معدة خصيصاً. هذا الطلب يهدف إلى تشغيل تجاوز المخزن المؤقت على الستاك، مما يسمح له بتخريب محتويات الستاك. وفي النهاية، يمكنه تحقيق تنفيذ تعليمات برمجية عن بعد على نظام التشغيل الأساسي للجهاز.
تؤثر الثغرة على طرازات هواتف GXP1610، GXP1615، GXP1620، GXP1625، GXP1628، و GXP1630. وقد قامت Grandstream بمعالجة هذه المشكلة من خلال إصدار تحديث للبرنامج الثابت (الإصدار 1.0.7.81) في أواخر الشهر الماضي.
وفي سياق متصل، طورت شركة Rapid7 وحدة استغلال (Exploit Module) ضمن إطار Metasploit. وقد أظهرت هذه الوحدة كيف يمكن استغلال الثغرة للحصول على صلاحيات الجذر على جهاز متأثر، وربطها بمكونات إضافية لاستخلاص معلومات الاعتماد المخزنة على الجهاز المخترق.
علاوة على ذلك، يمكن استخدام قدرات تنفيذ التعليمات البرمجية عن بعد لإعادة تكوين الجهاز المستهدف لاستخدام خادم وكيل SIP (Session Initiation Protocol) خبيث. هذا يسمح للمهاجم باعتراض المكالمات الهاتفية الواردة والصادرة من الجهاز، والتنصت على محادثات VoIP. ويعمل خادم SIP كوسيط في شبكات VoIP لإدارة وإنشاء المكالمات الصوتية والمرئية بين نقاط النهاية.
أشار الباحث دوغلاس ماكي من Rapid7 إلى أن استغلال هذه الثغرة ليس بسيطاً لدرجة “النقر مرة واحدة”، ولكنه يقلل بشكل كبير من صعوبة الهجوم. وشدد على أن هذه الثغرة يجب أن تثير قلق كل من يستخدم هذه الأجهزة في بيئات معرضة للخطر أو ذات تقسيم شبكي محدود.