Một lỗ hổng zero-day nghiêm trọng, được theo dõi với mã định danh CVE-2026-2329, đang ảnh hưởng đến dòng điện thoại bàn VoIP Grandstream GXP1600. Lỗ hổng này cho phép thực thi mã từ xa ở cấp độ root (root-level Remote Code Execution – RCE) mà không cần xác thực.

Vấn đề nằm ở một lỗi tràn bộ đệm dựa trên stack (stack-based buffer overflow), có thể bị khai thác từ xa trên các thiết bị dễ tổn thương. Do các điện thoại trong dòng GXP1600 chia sẻ cùng một firmware, tất cả sáu mẫu đều bị ảnh hưởng: GXP1610, GXP1615, GXP1620, GXP1625, GXP1628, và GXP1630.

Khai thác Lỗ hổng Zero-day CVE-2026-2329 trong Grandstream VoIP GXP1600

Phân tích Kỹ thuật Lỗ hổng

Rapid7 đã đánh giá lỗ hổng này ở mức CVSS v4.0 9.3 (Critical), mức độ nghiêm trọng cao nhất. Lỗ hổng được phân loại theo CWE-121 (Stack-based Buffer Overflow). Đây là một loại lỗi bảo mật phổ biến xảy ra khi một chương trình cố gắng ghi dữ liệu vào một vị trí bộ nhớ vượt quá giới hạn được cấp phát trên stack, dẫn đến việc ghi đè lên các dữ liệu hoặc lệnh liền kề, từ đó cho phép kẻ tấn công kiểm soát luồng thực thi của chương trình.

Thành phần dễ bị tổn thương là dịch vụ web/API của điện thoại, vốn có thể truy cập mặc định qua HTTP (cổng 80). Việc này tạo điều kiện thuận lợi cho kẻ tấn công thực hiện các cuộc tấn công mà không cần xác thực trước, gia tăng mức độ rủi ro.

Cơ chế Khai thác Lỗ hổng

Phân tích của Rapid7 làm nổi bật điểm cuối API /cgi-bin/api.values.get là nơi xảy ra lỗ hổng. Tại đây, một tham số request do kẻ tấn công kiểm soát được xử lý vào một bộ đệm stack nhỏ 64 byte mà không có kiểm tra giới hạn đầy đủ. Khi dữ liệu đầu vào quá dài, nó sẽ gây ra tình trạng tràn bộ đệm.

Tình trạng tràn bộ đệm này cho phép kẻ tấn công ghi đè lên các địa chỉ trả về và dữ liệu khác trên stack, từ đó chèn và thực thi mã tùy ý. Rapid7 cũng lưu ý rằng các biện pháp giảm thiểu hiện đại được triển khai trên thiết bị không hoàn chỉnh, làm cho việc khai thác lỗ hổng này trở nên khả thi hơn. Điều này nhấn mạnh tầm quan trọng của việc cập nhật bản vá bảo mật kịp thời.

Thông tin chi tiết về phân tích lỗ hổng có thể tham khảo tại blog Rapid7: Rapid7 Blog: Critical Unauthenticated Stack Buffer Overflow in Grandstream GXP1600 VoIP Phones Fixed.

Tác động và Khai thác Sau Tấn công

Một mã khai thác proof-of-concept (PoC) công khai đã được triển khai dưới dạng các module Metasploit, bao gồm một exploit trình diễn khả năng RCE root không xác thực. Điều này cho phép kẻ tấn công chiếm toàn quyền kiểm soát thiết bị mà không cần bất kỳ thông tin đăng nhập nào.

Ngoài ra, một module sau khai thác cũng được phát triển để trích xuất các thông tin bí mật đã lưu trữ, chẳng hạn như thông tin xác thực tài khoản cục bộ và SIP từ một điện thoại đã bị xâm phạm. Việc đánh cắp thông tin này có thể dẫn đến các cuộc tấn công tiếp theo hoặc việc truy cập trái phép vào các hệ thống khác trong mạng.

Rapid7 cũng lưu ý rằng một khi kẻ tấn công đã có quyền thực thi mã, họ có thể cấu hình lại cài đặt SIP (ví dụ, trỏ thiết bị đến một proxy SIP độc hại) để kích hoạt việc chặn cuộc gọi trong các môi trường mà cơ sở hạ tầng SIP cho phép. Khả năng này biến một lỗ hổng zero-day ban đầu thành một mối đe dọa nghiêm trọng đối với quyền riêng tư và bảo mật truyền thông thoại.

Giải pháp và Khuyến nghị Bản vá Bảo mật

Grandstream đã phát hành firmware phiên bản 1.0.7.81 để khắc phục triệt để vấn đề này. Các tổ chức nên ưu tiên nâng cấp mọi thiết bị GXP16xx đang chạy các phiên bản cũ hơn. Việc triển khai bản vá bảo mật này là cực kỳ quan trọng để bảo vệ hệ thống khỏi các cuộc tấn công tiềm tàng.

Ghi chú phát hành firmware 1.0.7.81 (ngày 30/01/2026) của Grandstream ghi rõ rằng nó đã “Fixed some security vulnerabilities” (Đã khắc phục một số lỗ hổng bảo mật), cho thấy đây là một bản cập nhật tập trung vào bảo mật cho dòng sản phẩm này. Các quản trị viên hệ thống cần nhanh chóng cập nhật firmware để đóng lại lỗ hổng zero-day và giảm thiểu rủi ro bị xâm nhập. Việc bỏ qua các bản cập nhật như vậy có thể dẫn đến việc hệ thống bị chiếm quyền điều khiển hoàn toàn.