Investigadores han publicado un exploit funcional que otorga acceso “root” total a seis modelos de teléfonos IP empresariales. ¿El culpable? Un desbordamiento de búfer en su interfaz web.
Si miras a tu alrededor en la oficina, es muy probable que veas un teléfono Grandstream sobre algún escritorio. Estos dispositivos son omnipresentes en las pymes, y por eso la alerta de hoy es tan vital. Hoy 23 de febrero de 2026, la existencia de una vulnerabilidad crítica de Ejecución Remota de Código (RCE) en la popular serie GXP1600 de teléfonos VoIP.
El fallo, rastreado como CVE-2026-2329, ha recibido una puntuación de severidad casi perfecta de 9.3 (Crítica) en la escala CVSS v4.0. Lo más alarmante es que no requiere autenticación: cualquier atacante con acceso a la red del teléfono (o si el teléfono está expuesto a internet) puede tomar el control total.
Anatomía del Ataque: Desbordando la Pila
El equipo de investigación descubrió que el talón de Aquiles de estos dispositivos se encuentra en su interfaz de gestión web, accesible por defecto en el puerto 80.
- El Endpoint Vulnerable: /cgi-bin/api.values.get
- El Mecanismo: Cuando el servidor web procesa ciertos parámetros de una solicitud, intenta meterlos en un búfer de memoria de pila (stack buffer) de apenas 64 bytes sin verificar primero si caben. Un atacante simplemente envía una cadena de caracteres más larga, desborda la memoria y sobrescribe la dirección de retorno para ejecutar su propio código malicioso.
¿Por qué es tan peligroso?
A diferencia de los PCs modernos, estos dispositivos embebidos carecen de protecciones de memoria avanzadas. Se señaló que, aunque tienen bit NX (No-Execute), carecen de “Stack Canaries” y ASLR (PIE), lo que hace que la explotación sea trivialmente fiable para un hacker experimentado. Una vez que el atacante tiene acceso “root”, puede:
- Escuchar las llamadas: Interceptar audio en tiempo real.
- Robar credenciales: Extraer las contraseñas SIP y las claves de administrador.
- Movimiento Lateral: Usar el teléfono como un “puente” para atacar otros servidores dentro de la red corporativa.
Modelos Afectados y Solución
Dado que todos comparten el mismo firmware base, la lista de víctimas incluye toda la familia:
- GXP1610, GXP1615, GXP1620, GXP1625, GXP1628 y GXP1630.
La Solución
Grandstream ha actuado rápido lanzando el firmware versión 1.0.7.81. Si eres administrador de red, tu prioridad número uno para esta semana debe ser actualizar estos terminales. Si no puedes actualizar de inmediato, aísla los teléfonos en una VLAN de voz estricta que no tenga acceso desde internet ni desde la red de datos general.
