Lỗ hổng nghiêm trọng trên điện thoại VoIP của HP cho phép xâm nhập mạng doanh nghiệp

Lỗ hổng nghiêm trọng trên điện thoại VoIP của HP cho phép xâm nhập mạng doanh nghiệp

Một lỗ hổng bảo mật có mức độ nghiêm trọng cao được phát hiện trên nhiều mẫu điện thoại VoIP của HP Poly Voice có thể cho phép kẻ tấn công thực thi mã từ xa (RCE) với quyền root. Rapid7 cảnh báo rằng lỗi này có thể bị khai thác để thiết lập một vị trí đứng vững trong mạng lưới doanh nghiệp.

Điện thoại VoIP trong môi trường văn phòng

Chi tiết lỗ hổng CVE-2026-0826

Lỗi này được theo dõi dưới mã định danh CVE-2026-0826 với điểm số CVSS là 9.2. Vấn đề được mô tả là một lỗi tràn bộ nhớ đệm dựa trên stack (stack-based buffer overflow) xảy ra trong quá trình phân tích cú pháp các thuộc tính của Giao thức Mô tả Phiên làm việc (SDP). Lỗi này ảnh hưởng đến các thiết bị có tính năng Thiết lập Kết nối Tương tác (Interactive Connectivity Establishment - ICE) được bật.

Tổn thất bảo mật này được xác định trong một hàm phân tích các thành phần riêng lẻ của các thuộc tính ứng viên. Hàm phân tích này được gọi trong quá trình xử lý dữ liệu SDP khi tính năng ICE đang hoạt động.

Cơ chế tấn công và tác động

Theo Rapid7, thuộc tính ứng viên được thiết kế để chứa địa chỉ truyền tải cho một ứng viên có thể được sử dụng để kiểm tra kết nối. Tuy nhiên, bộ phân tích sẽ sao chép chuỗi dữ liệu đầu vào vào một bộ đệm stack có kích thước 256 byte mà không kiểm tra độ dài của nó. Kẻ tấn công có thể cung cấp một thuộc tính ứng viên có độ dài lớn hơn để kích hoạt tràn bộ nhớ.

Kẻ tấn công có thể khai thác lỗ hổng này bằng cách gửi một yêu cầu SIP INVITE chứa một thuộc tính ứng viên độc hại. Hành động này sẽ gây ra sự cố crash, cho phép kẻ tấn công kiểm soát bộ đếm chương trình, các thanh ghi mục đích chung và dữ liệu trong con trỏ stack.

Để vượt qua các biện pháp giảm thiểu ASLR và No Execute (NX) - vốn ngăn chặn việc thực thi dữ liệu stack - kẻ tấn công có thể sử dụng chuỗi Lập trình Hướng về Trả về (ROP) chứa các byte null. Điều này dẫn đến việc thực thi mã tùy ý.

Các thiết bị bị ảnh hưởng và giải pháp khắc phục

Lỗi này đã được xác nhận trên các dòng điện thoại VoIP HP VVX series (bao gồm VVX 150, VVX 250, VVX 350 và VVX 450) và dòng Trio IP Conference series (bao gồm Trio 8800, Trio 8500 và Trio 8300). Hiện tại, các bản vá đã có sẵn cho tất cả các thiết bị này.

Để giảm thiểu rủi ro, người dùng có thể vô hiệu hóa kết nối ICE ở những nơi không thực sự cần thiết. Tuy nhiên, để giải quyết triệt để vấn đề, các quản trị viên được khuyên cập nhật thiết bị Poly Voice lên phiên bản phần mềm điều khiển (firmware) đã được vá.

Rủi ro đối với doanh nghiệp

Douglas McKee, Giám đốc Tình báo Lỗ hổng của Rapid7, nhận định rằng vấn đề chính nằm ở chỗ các thiết bị này thường nằm ở những vị trí được tin tưởng nội bộ, bao gồm phòng họp, văn phòng, quầy hỗ trợ và trạm bệnh viện.

"Một cuộc tấn công thành công trong bối cảnh này không chỉ đơn thuần là truy cập vào thiết bị. Mà là về những gì mà quyền truy cập đó có thể thực hiện," ông McKee lưu ý. Ông giải thích rằng các thiết bị này thường không chạy phần mềm bảo mật điểm cuối (endpoint protection) và có thể bị lạm dụng để thiết lập một vị trí đứng vững bền vững trong môi trường mạng, sau đó nghe trộm truyền thông hoặc di chuyển ngang (lateral movement).

Một chiếc điện thoại bàn bị xâm phạm nằm trong văn phòng giám đốc điều hành hoặc phòng họp không chỉ là cách để nghe lén các cuộc thảo luận nhạy cảm. Nó cũng có thể trở thành điểm thu thập âm thanh chính xác để sử dụng trong các cuộc tấn công giả mạo giọng nói (vishing), deepfake, kỹ thuật xã hội hoặc thậm chí là các nỗ lực ủy quyền tài chính gian lận.