Уязвимость в HP Poly VoIP открывает root-доступ

Критическая CVE-2026-0826 позволяет удалённо выполнить код с правами root на ряде HP Poly VVX и Trio при включённом ICE.

2026-06-03 GIGATAP Team #security
#CVE#VoIP Security#HP Poly

Уязвимость в HP Poly VoIP открывает root-доступ

Критическая уязвимость CVE-2026-0826 позволяет удалённо выполнять код с правами root на нескольких моделях VoIP-телефонов HP Poly без какой-либо аутентификации. Проблему обнаружили специалисты Rapid7 Labs в ходе исследования zero-day-уязвимостей. Исправление уже выпущено.

Ошибка затрагивает устройства HP Poly серий VVX и Trio и получила оценку 9.2 по шкале CVSSv4. По данным Rapid7, успешная эксплуатация даёт атакующему полный контроль над уязвимым устройством.

Для большинства организаций главный вопрос не в том, насколько опасна эта уязвимость. Гораздо важнее понять, считаются ли такие устройства частью управляемой инфраструктуры или давно превратились в забытое офисное оборудование.

Что изменилось#

Rapid7 обнаружила переполнение буфера в стеке при обработке атрибутов Session Description Protocol (SDP), связанных с механизмом Interactive Connectivity Establishment (ICE).

Уязвимость классифицирована как CWE-121 — stack-based buffer overflow. Если атакующий может установить соединение с уязвимым устройством, он способен использовать ошибку без аутентификации и выполнить произвольный код с правами root.

Исследователи подтвердили наличие проблемы на телефоне HP Poly VVX 450, а также установили, что ей подвержены другие модели семейства VVX, включая VVX 150, VVX 250, VVX 350 и VVX 450. Воздействие также подтверждено для конференц-телефонов Trio 8300, Trio 8500 и Trio 8800.

В опубликированном уведомлении есть важное ограничение: для эксплуатации необходимо, чтобы функция ICE была включена. Rapid7 отмечает, что по умолчанию ICE отключена.

Это снижает риск для части инфраструктур, однако не стоит воспринимать такой параметр как надёжную границу безопасности. Изменения конфигураций со временем, старые развёртывания, шаблоны поставщиков и различные эксплуатационные исключения нередко приводят к расхождению между настройками по умолчанию и реальным состоянием систем.

Почему это важно для безопасности#

VoIP-телефоны занимают странное положение в корпоративных сетях.

По сути это сетевые компьютеры с микрофонами, операционными системами, административными интерфейсами и доступом к внутренней инфраструктуре. Однако к их сопровождению часто относятся гораздо менее внимательно, чем к серверам, рабочим станциям или мобильным устройствам.

Именно поэтому CVE-2026-0826 заслуживает внимания.

Неаутентифицированная RCE на голосовом терминале может дать злоумышленнику начальную точку закрепления в сегменте сети, который службы безопасности контролируют недостаточно тщательно. В опубликованном исследовании также указано, что для демонстрации эксплуатации был создан модуль Metasploit, что упрощает проверку уязвимости и ускоряет защитное тестирование.

На данный момент уведомление не подтверждает массовые атаки в реальных сетях. Исследование показывает возможность эксплуатации при описанных условиях. Организациям не стоит ни предполагать наличие активной кампании атак, ни игнорировать проблему только потому, что речь идёт о специализированном классе устройств.

Урок знаком многим специалистам: программы безопасности часто концентрируются на конечных точках, облачных ресурсах и системах управления доступом, оставляя без внимания встроенную инфраструктуру, которая может работать годами без серьёзного аудита.

Что проверить#

Начните с инвентаризации голосовой инфраструктуры.

Проверьте, используются ли в вашей среде затронутые устройства HP Poly VVX или Trio. Для этого пригодятся данные инвентаризации, системы управления VoIP, результаты сетевого сканирования и репозитории конфигураций.

Приоритетные действия:

  • Проверьте наличие уязвимых моделей VVX и Trio.
  • Обновите устройства до версий с исправлением производителя.
  • Определите, включён ли ICE на каких-либо устройствах.
  • Проведите аудит сетевой доступности и сегментации голосовой инфраструктуры.
  • Проверьте мониторинг VoIP-терминалов и интерфейсов управления.

Если голосовая сеть выделена в отдельный сегмент, убедитесь, что механизмы сегментации по-прежнему работают корректно и не ослаблены накопившимися исключениями.

Чего не стоит утверждать#

Доступная информация позволяет сделать однозначный вывод: CVE-2026-0826 — серьёзная уязвимость, которая при соблюдении описанных условий может привести к удалённому выполнению кода с правами root на затронутых устройствах.

При этом имеющиеся данные не подтверждают заявления о масштабной эксплуатации, о том, что под угрозой находятся все развёртывания, или о том, что стандартные установки автоматически уязвимы.

Требование включённого ICE действительно важно и должно быть проверено отдельно. Однако это повод для технической проверки, а не причина откладывать установку исправлений.

Критические уязвимости в коммуникационной инфраструктуре часто остаются незамеченными, поскольку такие устройства воспринимаются как бытовые сетевые приборы, а не как полноценные системы, требующие регулярного сопровождения и обновлений безопасности. CVE-2026-0826 ещё раз напоминает: для атакующего VoIP-телефон — это такой же компьютер в сети.