สรุปสั้น
Rapid7 เปิดเผยช่องโหว่ระดับวิกฤตในโทรศัพท์ VoIP ตระกูล HP Poly Voice หลายรุ่น ติดตามด้วยรหัส CVE-2026-0826 ได้คะแนนความรุนแรง CVSS 9.2 ซึ่งจัดอยู่ในระดับ Critical
ช่องโหว่นี้เป็นแบบ stack-based buffer overflow เกิดในขั้นตอนการแยกวิเคราะห์ (parsing) ค่า attribute ของ Session Description Protocol (SDP) และกระทบเฉพาะอุปกรณ์ที่เปิดใช้งานฟีเจอร์ Interactive Connectivity Establishment (ICE)
ผู้โจมตีสามารถใช้ประโยชน์ได้ด้วยการส่งคำขอ SIP INVITE ที่บรรจุ candidate attribute อันตราย ทำให้เกิดการรันโค้ดจากระยะไกล (RCE) ด้วยสิทธิ์ระดับ root
อุปกรณ์ที่ได้รับผลกระทบยืนยันแล้วคือ HP VVX series (VVX 150, 250, 350, 450) และ Trio IP Conference series (Trio 8800, 8500, 8300)
HP ออกแพตช์เฟิร์มแวร์แก้ไขครบทุกรุ่นแล้ว และมีวิธีบรรเทาชั่วคราวด้วยการปิด ICE ในจุดที่ไม่จำเป็น
จุดอันตรายคือโทรศัพท์เหล่านี้มักวางในห้องประชุม ห้องผู้บริหาร และเคาน์เตอร์บริการ ซึ่งเป็นพื้นที่ที่ถูกไว้วางใจโดยปริยายและไม่มีซอฟต์แวร์ป้องกัน endpoint ติดตั้งอยู่
รายละเอียดข่าว
เว็บไซต์ SecurityWeek รายงานเมื่อวันที่ 2 มิถุนายน 2569 ว่าทีมวิจัยของ Rapid7 ได้ออกคำเตือนเกี่ยวกับช่องโหว่ระดับวิกฤตในโทรศัพท์ VoIP ของ HP Poly Voice ที่เปิดให้ผู้โจมตีเข้ายึดจุดเริ่มต้นในเครือข่ายองค์กรได้
ช่องโหว่ CVE-2026-0826 ถูกค้นพบในฟังก์ชันที่ทำหน้าที่แยกวิเคราะห์ส่วนประกอบแต่ละชิ้นของ candidate attribute โดยฟังก์ชันนี้จะถูกเรียกใช้ระหว่างการประมวลผลข้อมูล SDP เมื่อเปิดใช้งาน ICE
ตามคำอธิบายของ Rapid7 ตัว candidate attribute มีไว้เพื่อบรรจุ transport address ของ candidate ที่ใช้ในการตรวจสอบการเชื่อมต่อ (connectivity check) ระหว่างอุปกรณ์
ปัญหาคือ parser จะคัดลอกสตริงที่รับเข้ามาลงใน stack buffer ขนาด 256 ไบต์โดยไม่ตรวจสอบความยาวก่อน ทำให้ candidate attribute ที่มีความยาวมากกว่านั้นสามารถกระตุ้นให้เกิด buffer overflow ได้
เมื่อผู้โจมตีส่งคำขอ SIP INVITE ที่บรรจุ candidate attribute อันตราย จะทำให้เกิด crash และผู้โจมตีได้ควบคุม program counter, general-purpose registers และข้อมูลใน stack pointer
เพื่อข้ามผ่านมาตรการป้องกัน ASLR และ No Execute (NX) ที่กันการรันโค้ดบน stack ผู้โจมตีสามารถใช้ ROP (Return Oriented Programming) chain ที่มี null byte จนนำไปสู่การรันโค้ดตามอำเภอใจได้สำเร็จ
รายละเอียดช่องโหว่
ช่องโหว่นี้ได้รับการยืนยันบนโทรศัพท์ตระกูล HP VVX series ได้แก่ VVX 150, VVX 250, VVX 350 และ VVX 450 รวมถึงตระกูล Trio IP Conference series ได้แก่ Trio 8800, Trio 8500 และ Trio 8300 โดย HP ได้ออกแพตช์สำหรับทุกรุ่นแล้ว
หัวใจของช่องโหว่คือการขาดการตรวจสอบความยาวอินพุต (missing length validation) ก่อนการคัดลอกข้อมูลลง buffer ขนาดคงที่ ทำให้เป็นช่องโหว่ buffer overflow แบบคลาสสิกที่สามารถนำไปสู่การยึดการควบคุม flow การทำงานของโปรแกรม
Douglas McKee ผู้อำนวยการฝ่าย vulnerability intelligence ของ Rapid7 ระบุว่าประเด็นหลักไม่ใช่แค่การเข้าถึงตัวอุปกรณ์ แต่อยู่ที่ “สิ่งที่การเข้าถึงนั้นเปิดทางให้ทำได้” เพราะอุปกรณ์เหล่านี้อยู่ในตำแหน่งที่ถูกไว้วางใจโดยธรรมชาติ ทั้งห้องประชุม สำนักงาน เคาน์เตอร์ช่วยเหลือ และสถานีในโรงพยาบาล
เนื่องจากโทรศัพท์ VoIP เหล่านี้โดยทั่วไปไม่มีการติดตั้งซอฟต์แวร์ป้องกัน endpoint จึงสามารถถูกใช้เป็นจุดตั้งหลักแบบถาวร (persistent foothold) เพื่อดักจับการรับส่งข้อมูล หรือเคลื่อนตัวด้านข้าง (lateral movement) เข้าสู่ส่วนอื่นของเครือข่าย
McKee เตือนเพิ่มว่าโทรศัพท์ที่ถูกยึดในห้องผู้บริหารหรือห้องประชุมไม่ได้เป็นเพียงเครื่องมือดักฟังการสนทนาสำคัญ แต่ยังกลายเป็นจุดเก็บรวบรวมเสียงที่นำไปใช้ซ้ำในการโจมตี vishing, deep fake, social engineering หรือแม้แต่การหลอกอนุมัติธุรกรรมการเงินได้
ผลกระทบต่อไทย
โทรศัพท์ IP ตระกูล Poly และ HP VVX/Trio เป็นอุปกรณ์ที่ใช้แพร่หลายในองค์กรไทยจำนวนมาก ทั้งหน่วยงานราชการ โรงพยาบาล สถาบันการเงิน และบริษัทเอกชนที่วางระบบโทรศัพท์ผ่าน VoIP/SIP ทำให้พื้นผิวการโจมตีในประเทศมีไม่น้อย
ความเสี่ยงสำคัญคือองค์กรไทยจำนวนมากมักมองอุปกรณ์โทรศัพท์เป็น “อุปกรณ์ปลายทางที่ไม่อันตราย” และไม่ได้รวมไว้ในแผนการจัดการแพตช์หรือการเฝ้าระวัง ทำให้กลายเป็นช่องทางเข้าที่ถูกมองข้าม
หากผู้โจมตีเข้าถึงโทรศัพท์ในห้องประชุมผู้บริหารได้ ความเสียหายไม่ได้จำกัดแค่การดักฟัง แต่อาจขยายไปสู่การเก็บตัวอย่างเสียงเพื่อใช้ปลอมแปลงในการหลอกโอนเงินหรือหลอกพนักงาน ซึ่งเป็นรูปแบบการโจมตีที่กำลังเพิ่มขึ้น
นอกจากนี้ อุปกรณ์ VoIP ที่ถูกยึดและเชื่อมต่อกับเครือข่ายภายในยังสามารถใช้เป็นสะพานสำหรับการโจมตีระบบสำคัญอื่น ๆ ในองค์กรได้ เนื่องจากมักอยู่ในวงเครือข่ายที่เข้าถึงทรัพยากรภายในได้
คำแนะนำ
- อัปเดตเฟิร์มแวร์ทันที — อัปเดตอุปกรณ์ Poly Voice ทุกเครื่อง (VVX 150/250/350/450 และ Trio 8800/8500/8300) เป็นเวอร์ชันเฟิร์มแวร์ที่แพตช์แล้วจาก HP
- ปิด ICE หากไม่จำเป็น — ปิดฟีเจอร์ ICE connectivity ในจุดที่ไม่ได้ใช้งาน เพื่อบรรเทาช่องโหว่ทันทีระหว่างรอแพตช์
- แยกวง VLAN สำหรับอุปกรณ์ VoIP — แบ่ง network segmentation ให้โทรศัพท์ IP อยู่คนละวงกับระบบสำคัญ ลดโอกาส lateral movement
- รวมอุปกรณ์ VoIP เข้าในแผนจัดการแพตช์ — ปรับนโยบายให้นับโทรศัพท์ IP เป็น asset ที่ต้องติดตามและอัปเดตเช่นเดียวกับเครื่องคอมพิวเตอร์
- เฝ้าระวังทราฟฟิก SIP ผิดปกติ — ตรวจจับคำขอ SIP INVITE ที่มีขนาด candidate attribute ผิดปกติหรือทราฟฟิกที่บ่งชี้การพยายามทำให้อุปกรณ์ crash
