Eine kritische Pufferüberlauffehler in VoIP-Telefonen von Grandstream ermöglicht es Angreifern, vollständige Kontrolle über die Geräte zu erlangen. Die Sicherheitslücke CVE-2026-2329 betrifft besonders kleine und mittlere Unternehmen, die VoIP-Infrastruktur oft vernachlässigen.
Eine kritische Sicherheitslücke in VoIP-Telefonen des Herstellers Grandstream Networks hat erneut ein häufig übersehenes Risiko in Unternehmen ans Licht gebracht: Die Behandlung von Sprachkommunikationssystemen als vermeintliche Utility statt als schützenswerte IT-Infrastruktur.
Die Schwachstelle CVE-2026-2329 betrifft alle sechs Modelle der GXP1600-Serie und wird mit einem CVSS-Wert von 9,3 bewertet – kritisch. Unauthentifizierte Angreifer können damit vollständige Kontrolle über betroffene Geräte erlangen und beliebigen Code ausführen.
Grandstream beliefert in 150 Ländern Kunden – überwiegend kleine und mittlere Unternehmen, aber auch große Organisationen wie Hotels, Call-Center und Enterprises. Die GXP1600-Serie stellt dabei das Einstiegsmodell dar. Ein Sicherheitsforscher von Rapid7 entdeckte die Lücke Anfang Januar und meldete sie dem Hersteller. Grandstream veröffentlichte den Patch am 2. Februar.
“Im schlimmsten Fall können unauthentifizierte Angreifer CVE-2026-2329 ausnutzen, um Remote Code Execution mit Root-Rechten zu erreichen”, erklärt Stephen Fewer, Senior Principal Security Researcher bei Rapid7, der die Lücke aufdeckte. “Danach können sie Anmeldedaten extrahieren – etwa SIP-Konten mit im Klartext gespeicherten Passwörtern.”
Die Web-basierte API des Telefons ist in der Standardkonfiguration zugänglich und erfordert keine Authentifizierung. Ein Angreifer braucht nur Netzwerkzugriff – etwas, das intern bereits vorhandene Angreifer leicht erreichen. Rapid7 demonstrierte die Schwere durch einen Metasploit-Exploit für unkontrolliertes RCE mit Root-Privilegien und entwickelte ein Post-Exploitation-Modul zum Extrahieren von Geheimnissen wie Benutzer- und SIP-Kontodaten.
VoIP-Telefone sind attraktive Ziele, weil sie vollständig vernetzte Computer sind – doch oft mit minimaler Sicherheitsüberwachung. Organisationen vertrauen VoIP-Geräten typischerweise implizit und lassen sie jahrelang unüberwacht. “Das erhöht das Risiko massiv, da Angreifer in Echtzeit Zugriff auf sensible Gespräche über Verträge, Verhandlungen oder Rechtsfragen haben können”, betont Fewer.
Randolph Barr, Chief Information Security Officer bei Cequence Security, charakterisiert VoIP-Telefone als “attraktive, aber unterschätzte Angriffsfläche”. Anders als Laptops und Server sitzen sie außerhalb formaler Endpoint-Security, Logging und Patch-Management-Programme. Diese eingebetteten Systeme ohne Endpoint Detection and Response (EDR) werden oft weniger gründlich überwacht, obwohl sie vollständig netzwerkverbunden sind.
Mit Root-Zugriff können Angreifer Gespräche abhören, Betrugsgespräche führen, Benutzer impersonieren und das Telefon als Netzwerk-Brückenkopf nutzen – zum Scannen interner Systeme, Durchführung lateraler Bewegungen oder als Command-and-Control-Knoten. In schlecht segmentierten Umgebungen wird das Telefon zum internen Pivot-Punkt.
Besonders KMUs sind gefährdet, da sie oft flache Netzwerke ohne gute Segmentierung haben, wo Telefone und Computer dasselbe VLAN nutzen, ohne Firewalls und wenigen Zugangskontrollen. “Weniger Personal und langsamere Patch-Zyklen verschärfen das Problem”, warnt Barr. “Wenn Kontrolloberflächen oder SIP-Services mit dem Internet verbunden sind – besonders mit automatisierten Scans – können Angreifer schnell zuschlagen.”
Zum Glück sind RCE- und Pufferüberlauffehler in einzelnen VoIP-Telefonen relativ selten im Vergleich zu schwachen Anmeldedaten, exponierten Management-Interfaces oder unverschlüsseltem SIP/RTP-Verkehr. “In der Praxis nutzen Angreifer einfachere Wege wie Credential-Guessing”, erklärt Fewer. “Defender sollten Firmware-RCE als hochimpaktig aber niedrig-häufig bewerten und Fokus auf starke Authentifizierung, Netzwerksegmentierung und zügige Patches legen.”
Fewer empfiehlt: VoIP-Geräte-Firmware immer aktualisieren, SIP-Infrastruktur mit TLS und sicheren Schlüsselaustausch-Mechanismen härten und VoIP-Infrastruktur in isolierte Netzwerksegmente oder VLANs deployen.
Quelle: Dark Reading