In meerdere modellen van HP Poly Voice VoIP-telefoons is een kwetsbaarheid met kritieke ernst ontdekt die kan worden misbruikt voor remote code execution (RCE) met rootrechten. Hierdoor kunnen aanvallers een voet aan de grond krijgen binnen bedrijfsnetwerken, waarschuwt beveiligingsbedrijf Rapid7. De kwetsbaarheid, geregistreerd als CVE-2026-0826 met een CVSS-score van 9.2, betreft een stack-based buffer overflow in de verwerking van Session Description Protocol (SDP)-attributen. Dit treedt op bij apparaten waarbij de Interactive Connectivity Establishment (ICE)-functie is ingeschakeld.

De kwetsbaarheid zit in een functie die individuele onderdelen van candidate-attributen analyseert tijdens de verwerking van SDP-data. De parser kopieert een inkomende string in een buffer van 256 bytes zonder de lengte te controleren, waardoor een te lange candidate-attribuut een buffer overflow kan veroorzaken. Een aanvaller kan dit misbruiken door een SIP INVITE-verzoek te sturen met een kwaadaardig candidate-attribuut, wat leidt tot een crash en controle over het programma, registers en stackgegevens oplevert. Om beveiligingsmaatregelen zoals ASLR en No Execute (NX) te omzeilen, kan een Return Oriented Programming (ROP)-keten met null-bytes worden ingezet, wat resulteert in willekeurige code-uitvoering.

De kwetsbaarheid is bevestigd op HP VVX-serie (VVX 150, VVX 250, VVX 350 en VVX 450) en Trio IP Conference-serie (Trio 8800, Trio 8500 en Trio 8300) VoIP-telefoons. Voor al deze modellen zijn patches beschikbaar. Het uitschakelen van ICE-connectiviteit waar dit niet noodzakelijk is, vermindert het risico. Voor een volledige oplossing wordt aanbevolen om de firmware van Poly Voice-apparaten bij te werken naar een gepatchte versie.

Volgens Douglas McKee, directeur van Rapid7’s vulnerability intelligence, is het probleem dat deze apparaten zich bevinden op locaties die inherent vertrouwd worden, zoals vergaderruimtes, kantoren, helpdesks en ziekenhuisposten. Hij legt uit dat een compromittering niet alleen toegang tot het apparaat betekent, maar ook wat die toegang mogelijk maakt. Deze telefoons draaien doorgaans geen endpoint protection software en kunnen worden misbruikt om een blijvende toegang tot het netwerk te creëren, communicatie af te luisteren of zich lateraal te verplaatsen. Een geïnfecteerde bureautelefoon in een directiekantoor of vergaderruimte kan niet alleen gesprekken afluisteren, maar ook audio verzamelen die kan worden gebruikt voor vishing, deepfakes, social engineering of frauduleuze financiële transacties.