GrandstreamのVoIP電話機「GXP1600」シリーズに、認証なしで遠隔から機器を乗っ取られる可能性がある重大な脆弱性が報告されています。WebベースのAPIが既定設定でアクセス可能で、細工したリクエストにより遠隔コード実行につながるとされています。影響機種の確認と、提供されたファームウェア更新の適用が急務です。
The Hacker News:Grandstream GXP1600 VoIP Phones Exposed to Unauthenticated Remote Code Execution
この記事のポイント
影響のあるシステム
- Grandstream GXP1600シリーズのVoIP電話機(GXP1610 / GXP1615 / GXP1620 / GXP1625 / GXP1628 / GXP1630)
- WebベースのAPIサービス(
/cgi-bin/api.values.get)が既定設定で認証なしに到達可能な構成 - 脆弱性:CVE-2026-2329(CVSS 9.3)
推奨される対策
- Grandstreamが提供する修正済みファームウェア(1.0.7.81)へ更新する
- 対象電話機のWeb管理・API到達性を棚卸しし、インターネットや不要なセグメントからの到達を避ける(露出の最小化・セグメント分離)
- 万が一の不正操作に備え、SIPプロキシ設定など通話経路に関わる設定変更の監視・点検を強化する
上記の対策は、元記事の事実に基づき日本の読者向けに整理したものです。
この記事に出てくる専門用語
- CVE-2026-2329:特定の脆弱性に付与される共通の識別子(CVE)です。
- CVSS 9.3:脆弱性の深刻度を示す指標(CVSS)で、9点台は一般に重大レベルを示します。
- 認証なしRCE:ログインなどの認証を経ずに、遠隔から任意のコードを実行できる状態を指します。
- スタックベースのバッファオーバーフロー:メモリ領域(スタック)上の固定長バッファを超えて書き込むことで、想定外の動作やコード実行につながり得る不具合です。
- root権限:OS上で最も強い権限で、設定変更や情報取得など広範な操作が可能になります。
- SIPプロキシ:VoIPの通話確立や制御に関与する中継サーバーで、設定次第で通話の経路に影響します。
想定される攻撃シナリオと業務影響
報告によると、CVE-2026-2329は、影響を受ける電話機に対して認証なしで遠隔コード実行が可能になり、最終的にroot権限で制御される恐れがあるとされています。VoIP電話機は社内ネットワークの「周辺機器」と見なされがちですが、通話の起点であり、設定情報や認証情報を保持している場合もあります。もし攻撃者に制御されると、通話関連の設定改変に加え、機器上に保存された情報の取得や、社内セグメント内での足掛かりとして悪用される可能性が出てきます。とくに、機器が外部から到達可能、または防御が薄いネットワークに置かれている場合、被害の拡大が早まる懸念があるため、まずは影響機種の有無と設置環境を優先して確認する必要があります。
脆弱性の技術的ポイントと悪用の現実味
技術的には、問題は電話機のWebベースAPIサービスにあるとされ、対象エンドポイントは/cgi-bin/api.values.getです。このAPIは、ファームウェア版本やモデル名などの設定値を取得する目的で使われ、requestパラメータにコロン区切りの文字列(例:request=68:phone_model)を渡して識別子を解釈する仕組みだと説明されています。ところが、スタック上の64バイトのバッファに追記する際、長さチェックが行われず、攻撃者が制御するrequestにより境界外へ書き込みが発生し得るため、スタックベースのバッファオーバーフローから遠隔コード実行に至る可能性があると報告されています。さらにRapid7は、Metasploitのエクスプロイトモジュールにより、脆弱な機器でroot権限を得て、侵害端末に保存された認証情報の抽出まで連鎖できることを示したとされています。派手な「ワンクリック」ではないとしても、既定設定で到達可能な点が障壁を下げると指摘されており、露出した環境や分離が弱い環境では注意が必要です。
国内組織が直ちに確認すべき点
まず、GXP1610/1615/1620/1625/1628/1630が自組織に存在するかを棚卸しし、管理用のWebインターフェースやAPIがどのネットワークから到達できるかを確認してください。報告では当該エンドポイントが既定設定で認証なしにアクセス可能とされているため、「置かれている場所(セグメント)」と「到達性(公開・拠点間・来訪者Wi-Fiなど)」の見直しが重要になります。次に、Grandstreamが修正済みとして案内しているファームウェア(1.0.7.81)への更新計画を立て、影響端末から順に適用します。併せて、通話の安全性の観点から、SIPプロキシ設定が不正に書き換えられると通話の盗聴につながる可能性が示されているため、設定変更の監視や定期点検の運用を強化すると現実的です。もし侵害の疑いが出た場合は、当該端末をネットワークから切り離したうえで、設定・ログ・通話経路の変更有無を確認し、必要に応じて認証情報の見直しを進めるなど、二次被害の抑止を優先してください。
