ไอพีโฟน Grandstream มีช่องโหว่ร้ายแรง เปิดทางแฮก-ดักฟังสาย

โทรศัพท์สำนักงานแบบ VoIP กำลังกลายเป็นจุดอ่อนด้านความปลอดภัยโดยไม่รู้ตัว หลังนักวิจัยด้านไซเบอร์เปิดเผยช่องโหว่ระดับวิกฤตในโทรศัพท์ Grandstream ตระกูล GXP1600 ซึ่งเปิดทางให้ผู้โจมตีสามารถเข้าควบคุมอุปกรณ์จากระยะไกลได้โดยไม่ต้องล็อกอินแม้แต่น้อย

ช่องโหว่นี้ถูกระบุเป็นรหัส CVE-2026-2329 และได้รับคะแนนความรุนแรงสูงถึง 9.8 โดยแฮกเกอร์สามารถส่งแพ็กเก็ตเครือข่ายที่ถูกออกแบบมาเป็นพิเศษ เพื่อทำให้เกิด buffer overflow และรันโค้ดอันตรายบนอุปกรณ์ได้ทันที ส่งผลให้สามารถยึดสิทธิ์ระดับ root หรือสิทธิ์สูงสุดของระบบได้อย่างสมบูรณ์

ช่องโหว่เดียว คุมโทรศัพท์ทั้งเครื่องโดยไม่ต้องล็อกอิน

ต้นเหตุของปัญหาอยู่ในระบบ Web-based API ของตัวเครื่อง ซึ่งเปิดใช้งานในค่าตั้งต้น ทำให้ผู้โจมตีสามารถเรียกใช้งาน endpoint สำคัญผ่าน HTTP request ได้โดยตรง หากอุปกรณ์สามารถเข้าถึงผ่านเครือข่ายได้ ไม่ว่าจะจากอินเทอร์เน็ตหรือจากภายในองค์กรเอง

เมื่อโจมตีสำเร็จ แฮกเกอร์จะสามารถรันคำสั่งจากระยะไกลด้วยสิทธิ์ root ได้ทันที เทียบเท่าการยึดเครื่องทั้งหมด ไม่ว่าจะเป็นการดึงข้อมูลบัญชีผู้ใช้ ปรับตั้งค่าระบบ หรือเปลี่ยนพฤติกรรมการทำงานของโทรศัพท์โดยที่ผู้ใช้งานแทบไม่สังเกตเห็นความผิดปกติเลย

จุดที่ทำให้ช่องโหว่นี้อันตรายคือ ผู้ใช้ยังสามารถโทรเข้าออกได้ตามปกติ หน้าจอและระบบดูเหมือนทำงานปกติทั้งหมด ทำให้การโจมตีสามารถซ่อนตัวอยู่เบื้องหลังได้เป็นเวลานานโดยไม่ถูกตรวจจับ

เครื่องมือดักฟังและประตูหลังเครือข่ายองค์กร

หลังจากได้สิทธิ์ควบคุมอุปกรณ์แล้ว ผู้โจมตีสามารถเปลี่ยนค่า SIP proxy เพื่อบังคับให้การสื่อสารเสียงทั้งหมดวิ่งผ่านเซิร์ฟเวอร์ของผู้โจมตี ส่งผลให้สามารถดักฟัง บันทึก หรือแม้แต่เปลี่ยนเส้นทางสายสนทนาได้โดยที่ผู้ใช้งานไม่รู้ตัว

ความเสี่ยงไม่ได้หยุดแค่การแอบฟัง เพราะโทรศัพท์ VoIP มักเชื่อมต่ออยู่ภายในเครือข่ายองค์กร หากถูกยึดเครื่องสำเร็จ อุปกรณ์ดังกล่าวอาจกลายเป็นจุดเริ่มต้นในการสแกนระบบอื่น เคลื่อนที่ภายในเครือข่าย หรือใช้เป็นฐานควบคุมการโจมตีเพิ่มเติมได้ โดยเฉพาะในองค์กรที่ไม่มีการแบ่ง segment เครือข่ายอย่างเหมาะสม

รีบอัปเดตโดยด่วน

หลังจากได้รับรายงานเกี่ยวกับช่องโหว่ดังกล่าว ทาง Grandstream ได้เร่งดำเนินการแก้ไขทันที และออกเฟิร์มแวร์แพตช์เพื่ออุดช่องโหว่เป็นที่เรียบร้อยแล้ว เพื่อลดความเสี่ยงที่อุปกรณ์จะถูกนำไปใช้ในการโจมตีหรือดักฟังการสื่อสารขององค์กร ผู้ใช้งานที่มีอุปกรณ์อยู่ในระบบจึงควรรีบตรวจสอบเวอร์ชันเฟิร์มแวร์และทำการอัปเดตโดยเร็วที่สุด หรือหากเป็นระบบที่ติดตั้งผ่านผู้ให้บริการหรือบริษัทวางระบบ ควรติดต่อผู้ดูแลเพื่อดำเนินการอัปเดตทันที เนื่องจากการปล่อยให้อุปกรณ์ทำงานบนเวอร์ชันที่ยังไม่ถูกแพตช์ อาจเปิดช่องให้ผู้ไม่หวังดีเข้าควบคุมอุปกรณ์ได้โดยไม่รู้ตัว

ที่มา