La faille d’exécution de code à distance permet l’accès root et les attaques vocales sur les téléphones HP Poly VoIP, y compris les écoutes clandestines et la possibilité de collecter de l’audio pour générer des deepfakes.
HP a publié des correctifs pour une vulnérabilité critique de dépassement de tampon dans plusieurs téléphones de conférence compatibles IP de sa gamme Poly Voice. La faille permet à des attaquants non authentifiés d’obtenir les privilèges root sur le système d’exploitation sous-jacent, leur permettant potentiellement d’exécuter d’autres attaques telles que l’écoute clandestine de conversations et l’enregistrement de données vocales pour des attaques d’usurpation d’identité basées sur l’IA.
La vulnérabilité, identifiée comme CVE-2026-0826, a été découverte par des chercheurs de la société de sécurité Rapid7 et réside dans le code qui analyse les attributs du protocole de description de session (SDP) lorsque la fonctionnalité d’établissement de connectivité interactive (ICE) est activée.
ICE permet aux appareils VoIP d’établir des connexions peer-to-peer en utilisant le chemin réseau disponible le plus court. La fonctionnalité n’est pas activée par défaut sur les appareils HP Poly et la société conseille aux administrateurs de la désactiver si elle n’est pas nécessaire.
La faille, notée 9,2 sur l’échelle de gravité CVSS, affecte tous les téléphones de la série HP Poly VVX, ainsi que les appareils de conférence IP Trio 8300, 8500 et 8800. HP a corrigé la faille dans ses versions 6.4.8 de Poly Unified Communications Software (UCS) pour les appareils VVX, 8.1.7 pour le Trio 8300 et 7.2.8 pour les Trio 8500 et 8800.
L’exploit VoIP est public pour les tests d’intrusion
Un module d’exploitation ciblant cette vulnérabilité a déjà été développé et publié pour le cadre de test d’intrusion Metasploit largement utilisé et maintenu par Rapid7.
L’exploit exécute le code en tant que root sur un appareil concerné avec ICE activé en envoyant une requête SIP INVITE avec un attribut candidat spécialement conçu. Cet attribut contient normalement une adresse de transport qui peut être utilisée pour les contrôles de connectivité et fait partie de la norme ICE RFC8839.
Le bug de débordement de tampon se trouve dans une fonction d’assistance appelée ParseICECandidate dans le polyapp binaire qui traite de telles requêtes sur l’appareil.
« Le début de la fonction contient un appel à memcpyqui copiera la ligne de chaîne entrante en cours de traitement dans un tampon de pile de 256 octets », a déclaré Stephen Fewer, chercheur principal en sécurité chez Rapid7, dans un article de blog. « Aucune vérification de longueur n’est effectuée pour garantir que la longueur de la chaîne entrante est inférieure à 256 octets. Par conséquent, en fournissant un attribut candidat dont la longueur est supérieure à 256 octets, un débordement de tampon basé sur la pile se produira.
L’ASLR (Address Space Layout Randomization), une fonctionnalité du noyau qui randomise les adresses mémoire pour vaincre les exploits de dépassement de tampon, est activée sur l’appareil. Cependant, la protection ne fonctionne pas correctement sur les appareils HP Poly car elle ne randomise pas les adresses de chargement des bibliothèques .so (Shared Object).
Ces bibliothèques, telles que libcsont chargés par d’autres processus, y compris le polyapp processus, et comme leurs adresses mémoire ne changent jamais, ils peuvent être exploités pour contourner l’ASLR et exécuter la charge utile de l’attaquant.
« Nous créons une chaîne ROP qui exécutera une commande arbitraire du système d’exploitation via la fonction de bibliothèque C standard du système », a déclaré Moins. « Le code source des modules d’exploitation Metasploit qui l’accompagne détaille l’ensemble de la chaîne ROP. »
Les téléphones VoIP sont des cibles attractives
Ces dernières années, les attaquants ont de plus en plus ciblé les appareils embarqués dans les réseaux d’entreprise, car contrairement aux ordinateurs portables, aux postes de travail et aux serveurs, ces appareils ne sont pas surveillés par les produits de détection et de réponse des points finaux (EDR). En tant que tels, ils offrent une parfaite implantation dans les environnements d’entreprise qui permettent aux attaquants de rester indétectables pendant de longues périodes et d’attaquer d’autres systèmes.
À l’ère de l’IA, ces appareils deviennent encore plus pertinents pour les attaquants, allant au-delà de l’espionnage industriel en enregistrant des conversations ou en faisant pivoter le réseau interne.
« Les attaquants n’ont plus besoin d’ensembles de données massifs pour utiliser des outils de synthèse vocale », a déclaré Douglas McKee, directeur de l’intelligence des vulnérabilités chez Rapid7, dans un article de blog. « Dans de nombreux cas, ils ont simplement besoin d’une source audio propre, montrant la bonne personne prononçant suffisamment de mots dans suffisamment de contextes. Cela a rendu les données vocales des dirigeants, les enregistrements d’appels et la capture de conversations en direct bien plus précieux que de nombreuses organisations ne semblent prêtes à l’admettre. »
Les attaquants pourraient collecter de l’audio, puis utiliser des deepfakes d’IA pour usurper l’identité de dirigeants lors d’appels aux employés et aux partenaires commerciaux afin d’autoriser des transactions frauduleuses, d’accéder à des systèmes sensibles, etc.
« La préoccupation n’est pas seulement » quelqu’un pourrait entendre quelque chose de confidentiel « », a déclaré McKee. « Ce serait déjà assez grave. La préoccupation plus large est que l’infrastructure vocale peut désormais soutenir à la fois les objectifs d’espionnage traditionnels et les opérations de fraude modernes basées sur l’IA. »
