HP a publié des correctifs pour une faille critique de type « débordement de mémoire tampon » affectant plusieurs téléphones de conférence IP de sa gamme Poly Voice. Cette vulnérabilité donne à des attaquants non authentifiés la capacité d'obtenir des privilèges administrateur sur le système d'exploitation sous-jacent, ce qui pourrait leur permettre de mener d'autres attaques, telles que l'écoute clandestine de conversations et l'enregistrement de données vocales à des fins d'usurpation d'identité via l'IA. La vulnérabilité, référencée en tant que CVE-2026-0826, a été découverte par des chercheurs de la société de sécurité Rapid7 et réside dans le code qui analyse les attributs du protocole SDP (Session Description Protocol) lorsque la fonctionnalité ICE (Interactive Connectivity Establishment) est activée. ICE permet aux appareils VoIP d'établir des connexions peer-to-peer en utilisant le chemin réseau le plus court disponible. Cette fonctionnalité n'est pas activée par défaut sur les terminaux HP Poly, et la société conseille aux administrateurs de la désactiver si elle n'est pas nécessaire. La faille, au score CVSS de 9,2, affecte tous les téléphones de la série HP Poly VVX, ainsi que les systèmes de conférence IP Trio 8300, 8500 et 8800. HP a corrigé cette faille dans son logiciel Poly Unified Communications Software (UCS) : version 6.4.8 pour les appareils VVX, 8.1.7 pour le Trio 8300 et 7.2.8 pour les Trio 8500 et 8800.

Un PoC d'exploit ciblant cette vulnérabilité a déjà été développé et publié pour le framework de tests d'intrusion Metasploit, largement utilisé et maintenu par Rapid7. L'exploit exécute du code en tant qu'administrateur sur un terminal affecté sur lequel ICE est activé, en envoyant une requête SIP INVITE comportant un attribut « candidate » spécialement conçu. Cet attribut contient normalement une adresse de transport pouvant servir à vérifier la connectivité et fait partie de la norme ICE RFC8839. Le bug de débordement de mémoire tampon se trouve dans une fonction d'aide appelée ParseICECandidate dans le binaire polyapp qui traite ces requêtes sur l'équipement. « Le début de la fonction contient un appel à memcpy, qui copie la ligne de chaîne entrante en cours de traitement dans un tampon de pile de 256 octets », a déclaré Stephen Fewer, chercheur principal en sécurité chez Rapid7, dans un billet de blog. « Aucune vérification de longueur n'est effectuée pour s'assurer que la longueur de la chaîne entrante est inférieure à 256 octets. Par conséquent, en fournissant un attribut candidat dont la longueur est supérieure à 256 octets, un débordement de tampon basé sur la pile se produira. »

Les téléphones VoIP constituent des cibles de choix

La fonctionnalité ASLR (Address Space Layout Randomization), une fonctionnalité du noyau qui affecte de manière aléatoire les adresses mémoire afin de contrer les exploits par débordement, est activée sur les téléphones. Cependant, cette protection ne fonctionne pas correctement sur les terminaux HP Poly, car elle ne randomise pas les adresses de chargement des bibliothèques .so (Shared Object). Ces bibliothèques, telles que libc, sont chargées par d'autres processus, y compris le processus polyapp, et comme leurs adresses mémoire ne changent jamais, elles peuvent être exploitées pour contourner l'ASLR et exécuter la charge utile de l'attaquant. « Nous créons une chaîne ROP (return oriented propgraaing) qui exécutera une commande arbitraire du système d'exploitation via la fonction de la bibliothèque C standard du système », a déclaré M. Fewer. « Le code source des modules d'exploitation Metasploit fournis détaille l'intégralité de la chaîne ROP. »

Ces dernières années, les pirates s’attaquent de plus en plus à ce type d'équipements au sein des réseaux d’entreprise, car contrairement aux ordinateurs portables, aux postes de travail et aux serveurs, ils sont moins bien surveillés par les solutions de détection et de réponse aux incidents sur les terminaux (EDR). Ils offrent ainsi un point d’ancrage idéal au sein des environnements d’entreprise, où les pirates peuvent passer inaperçus pendant de longues périodes et d’attaquer d’autres systèmes. À l'ère de l'IA, ils deviennent encore plus intéressants pour les attaquants, qui vont au-delà de l'espionnage industriel en enregistrant des conversations ou en pivotant au sein du réseau interne. « Les attaquants n'ont plus besoin d'énormes ensembles de données pour utiliser les outils de synthèse vocale », a déclaré Douglas McKee, directeur du renseignement sur les vulnérabilités chez Rapid7, dans l'article de blog. « Dans de nombreux cas, il leur suffit d’une source audio de bonne qualité où la bonne personne prononce suffisamment de mots dans suffisamment de contextes. Cela a rendu les données vocales des dirigeants, les enregistrements d’appels et la capture de conversations en direct bien plus précieuses que de nombreuses organisations ne semblent prêtes à l’admettre. »

Les pirates pourraient enregistrer des conversations audio, puis utiliser des « deepfakes » générés par l'IA pour se faire passer pour des dirigeants lors d'appels passés à des employés ou à des partenaires commerciaux, dans le but d'autoriser des transactions frauduleuses, d'accéder à des systèmes sensibles, et bien plus encore. « Le problème ne se limite pas au fait que « quelqu'un pourrait entendre des informations confidentielles » », a déclaré M. McKee. « Cela serait déjà suffisamment grave. Le problème plus général est que les infrastructures vocales peuvent désormais servir à la fois aux objectifs traditionnels de l'espionnage et aux opérations de fraude modernes basées sur l'IA. »