CVE-2026-0826: RCE root su telefoni HP Poly VoIP enterprise

CVE-2026-0826: RCE root su telefoni HP Poly VoIP enterprise

Una vulnerabilità critica nei telefoni VoIP HP Poly Voice espone le reti enterprise a compromissione remota con privilegi massimi. Identificata come CVE-2026-0826 con punteggio CVSS 9.2, la falla è stata divulgata il 2 giugno 2026 da ricercatori Rapid7 e documentata dettagliatamente da SecurityWeek. Il meccanismo è un classico stack-based buffer overflow nel parser SDP che, combinato con l'abuso della funzionalità ICE, permette a un attaccante remoto non autenticato di ottenere esecuzione di codice arbitrario come root su dispositivi posizionati tipicamente in zone ad alta sensibilità delle organizzazioni.

Come funziona l'attacco: il parser SDP che non controlla i 256 byte

La radice della vulnerabilità risiede nel modo in cui il firmware HP Poly Voice gestisce gli attributi SDP (Session Description Protocol) durante la negoziazione delle chiamate VoIP. Il parser copia la stringa in ingresso in un buffer allocato sullo stack di dimensione fissa pari a 256 byte, senza verificare che la lunghezza effettiva del dato ecceda tale soglia. Questo consente di sovrascrivere l'indirizzo di ritorno della funzione e da lì il program counter, i registri general-purpose e lo stack pointer.

Secondo la descrizione tecnica di Rapid7 riportata da SecurityWeek: "The parser copies the incoming string line into a 256-byte stack buffer without checking its length, and a candidate attribute with a greater length can be supplied to trigger the buffer overflow." La funzionalità ICE (Interactive Connectivity Establishment), utilizzata per attraversare NAT e firewall nelle comunicazioni peer-to-peer, fornisce il vettore d'ingresso: un SIP INVITE non autenticato contenente un candidate attribute opportunamente confezionato attiva il percorso vulnerabile nel codice.

Le protezioni moderne ASLR (Address Space Layout Randomization) e NX (No-Execute) non bloccano l'exploitation. I ricercatori documentano che l'attaccante può costruire una ROP chain contenente null bytes — tipicamente problematici nelle stringhe C — e ottenere esecuzione di codice arbitrario. Il processo target gira con privilegi root, trasformando ogni dispositivo compromesso in una piattaforma di controllo totale sulla rete di appartenenza.

Perché i telefoni VoIP sono il blind spot della sicurezza enterprise

I dispositivi coinvolti non sono periferiche marginali. I modelli VVX e Trio IP Conference sono standard in sale conferenze, uffici dirigeriali, help desk e postazioni ospedaliere: ambienti dove fluiscono informazioni strategice, finanziarie, cliniche o legali. Questa collocazione spaziale è determinante per la valutazione del rischio.

Douglas McKee, director of vulnerability intelligence di Rapid7, ha evidenziato un aspetto strutturale spesso trascurato: "these devices typically don't run endpoint protection software and can be abused to establish a persistent foothold." L'assenza di agent EDR, la mancanza di visibilità da parte delle piattaforme di security operations, la rarità degli scan dedicati nel ciclo di vulnerability management: tutto questo rende il telefono VoIP un pivot ideale per movimento laterale prolungato.

McKee ha inoltre sottolineato le conseguenze oltre la pura compromissione di rete: "A compromised desk phone sitting in an executive office or conference room is not just a way to eavesdrop on sensitive discussions. It can also become a collection point for exactly the kind of audio that can be reused in vishing, deep fakes, social engineering, or even fraudulent financial authorization attempts." La qualità delle registrazioni ambientali da questi dispositivi — progettati per catturare voce con cancellazione del rumore e pattern direzionali — le rende materiale prima per sintesi vocale fraudolenta e attacchi di ingegneria sociale avanzati.

"A compromise in that context is not just about device access. It's about what that access enables." — Douglas McKee, Rapid7

Modelli vulnerabili e stato delle contromisure

Le fonti primarie convergenti — SecurityWeek e il blog Rankiteo — elencano identici modelli nella superficie di attacco confermata: la serie HP VVX (150, 250, 350, 450) e la serie Trio IP Conference (8800, 8500, 8300). Per tutti e sette i dispositivi HP ha rilasciato patch, sebbene il dossier non specifichi la data esatta di pubblicazione dei firmware corretti.

Esiste una mitigazione temporanea immediata: la disabilitazione della funzionalità ICE connectivity dove non è strettamente richiesta. Questa azione blocca il vettore d'ingresso documentato, poiché il parsing vulnerabile degli attributi candidate è attivato proprio dal percorso ICE. La scelta operativa richiede però valutazione di impatto funzionale, dato che ICE abilita la connettività diretta in scenari NAT traversal e conference bridge.

Il dossier non documenta se HP/Poly abbia emesso advisory ufficiale indipendente dalla ricerca Rapid7, né se CVE-2026-0826 sia già presente nel database NVD al momento della stesura: il record NVD fornito nel dossier si riferisce infatti a CVE-2025-37164, associato a HPE OneView, prodotto completamente diverso.

Cosa fare adesso

• Verificare l'inventario dei dispositivi HP Poly Voice presenti in rete: identificare modelli VVX 150/250/350/450 e Trio 8800/8500/8300 con firmware non aggiornato.
• Applicare le patch rilasciate dal vendor per tutti i modelli affetti, prioritizzando i dispositivi posizionati in zone ad alta sensibilità (executive office, conference room, help desk).
• Valutare la disabilitazione della funzionalità ICE connectivity dove non essenziale al servizio, come mitigazione temporanea preventiva o compensativa.
• Includere i telefoni VoIP nel perimetro di vulnerability management e security monitoring: verificare che siano soggetti a scan regolari e che le piattaforme SOC ne rilevino anomalie di rete.

Il telefono come microfono di stato: perché il 2026 ripete il 1995

La lettura più rilevante non è tecnica ma architetturale. Un buffer overflow del 1995 — buffer fisso, nessun bounds checking, sovrascrittura dello stack — nel 2026 controlla microfoni di sala consiglio. Questo accade perché la supply chain di sicurezza enterprise ha escluso sistematicamente i dispositivi VoIP dal perimetro di attenzione: non endpoint, non server, non IoT consumer, ma una categoria ibrida che eredita la criticità delle prime due e la trascuratezza del terzo.

La ricerca Rapid7 non scopre una tecnica nuova. Documenta invece che le tecniche vecchie funzionano ancora dove nessuno guarda. Il dato CVSS 9.2 non misura solo la gravità del bug: misura il divario tra la protezione teorica delle reti enterprise e la protezione effettiva dei loro microfoni. Per i CISO, l'invito a verificare l'inventario Poly Voice è anche un promemoria più ampio: il prossimo weak link non sarà un'altra classe di dispositivo, ma la stessa classe dimenticata con nome diverso.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

• https://www.securityweek.com/critical-vulnerability-in-hp-voip-phones-enables-enterprise-network-breaches/
• https://blog.rankiteo.com/hpp1780411927-hp-vulnerability-june-2026/
• https://www.arrowwoodservices.com/critical-vulnerability-in-hp-voip-phones-enables-enterprise-network-breaches/
• https://nvd.nist.gov/vuln/detail/CVE-2025-37164
• https://nvd.nist.gov/vuln
• https://nvd.nist.gov/vuln/categories
• https://nvd.nist.gov/vuln/data-feeds
• https://nvd.nist.gov/vuln/vendor-comments