hp voip telefonlarında kritik açık, şirket ağına giriş kapısı olmuş
arkadaşlar, hp’nin voip telefonlarında kritik seviyede bir açık bulunmuş. stack-based buffer overflow denen klasik zafiyet var ve uzaktan kod çalıştırmaya (rce) izin veriyor. yani saldırgan telefonu ele geçirdikten sonra oradan şirket ağına sızabiliyor.
spoiler: bu tip voip cihazlar genelde şirket ağının içinde güvenilir cihaz olarak görüldüğü için, bir kere ele geçirildikten sonra lateral movement için mükemmel bir atlama taşı oluyor.
detaylar
zafiyet CVE-2025-64328 olarak kataloglanmış. cvss skoru tam 9.8/10 yani kritik seviyede 🔴
stack-based buffer overflow zafiyeti, telefonun web arayüzünde veya sip protokolü üzerinden tetiklenebiliyor. saldırgan özel hazırlanmış bir paket göndererek telefonda kendi kodunu çalıştırabiliyor.
en kötü tarafı: kimlik doğrulama gerektirmiyor, yani ağa erişimi olan herhangi biri sömürebilir bu açığı.
etkilenen sistemler
| cihaz | durum |
|---|---|
| hp elite voip telefonlar (çeşitli modeller) | ✅ etkileniyor |
| hp sip tabanlı ip telefonlar | ✅ etkileniyor |
| diğer üreticiler | ❌ etkilenmiyor |
hp henüz tam model listesini yayınlamadı ama elite serisi voip telefonlar kesin etkileniyor.
ne yapmalısınız
şimdi agalar, yapmanız gerekenler:
- önce envanteri çıkarın:
# ağdaki hp voip telefonları tespit edin
nmap -p 80,443,5060 --script http-title 192.168.1.0/24 | grep -i "hp"
# veya dhcp loglarından bakın
grep -i "hp\|hewlett" /var/log/dhcp.log
hp’nin güvenlik bültenini takip edin:
- hemen hp’nin destek sitesine bakın
- firmware güncellemesi yayınlanmış mı kontrol edin
- yayınlandıysa acil acil güncelleyin
vlan segmentasyonu yapın:
- voip telefonları ayrı bir vlan’a alın
- bu vlan’dan şirket ağına erişimi kısıtlayın
- sadece gerekli portları (sip sunucu, tftp vs) açık bırakın
geçici çözümler
yamayı hemen uygulayamıyorsanız (ki anlıyorum, voip sistemlerine dokunmak riskli):
1. ağ seviyesinde izolasyon:
# firewall'da voip vlan'ından gelen trafiği kısıtlayın
iptables -A FORWARD -i vlan_voip -o vlan_internal -j DROP
iptables -A FORWARD -i vlan_voip -d sip_server_ip -p udp --dport 5060 -j ACCEPT
2. web arayüzünü kapatın:
- telefonların web arayüzüne sadece yönetim ağından erişime izin verin
- son kullanıcı ağından 80/443 portlarını kapatın
3. ids/ips kuralları:
- anormal sip paketlerini tespit edecek kurallar ekleyin
- buffer overflow denemelerini loglamaya başlayın
4. monitoring:
# voip telefonlardan gelen anormal trafiği izleyin
tcpdump -i any -nn 'host voip_subnet and not port 5060' -w voip_anomaly.pcap
neden bu kadar önemli?
agalar, voip telefonları genelde şirketlerde şöyle bir durum:
- güvenilir cihaz olarak görülür
- güvenlik duvarı kurallarında muaf tutulur
- ağın içindedir, dışarıdan erişim yoktur diye düşünülür
- kimse firmware güncellemesini düşünmez
ama bir kere ele geçirildikten sonra:
- saldırgan ağın içindedir artık
- diğer sistemlere saldırı başlatabilir
- ses trafiğini dinleyebilir (hassas bilgiler)
- pivoting için kullanabilir
edit: benzer bir açık 2023’te cisco voip telefonlarında da bulunmuştu, o zaman da ciddi sıkıntı çıkmıştı.
timeline
hemen yapılacaklar:
- bugün: envanteri çıkarın, kaç tane etkilenen cihaz var öğrenin
- bu hafta: geçici çözümleri uygulayın (vlan izolasyonu, acl’ler)
- yamalar çıkınca: test ortamında deneyin, sonra production’a alın
- sürekli: monitoring’i açık tutun, anormal aktivite var mı bakın
kaynaklar
- CVE-2025-64328 - zafiyet detayları
- SecurityWeek - Orijinal Haber
- HP Security Bulletin (yayınlandığında buraya eklenecek)
son olarak: yedek almadan firmware güncellemesi yapmayın, voip sistemi çökerse sonra ağlarsınız. önce test ortamında deneyin, sonra yavaş yavaş production’a alın.
bkz: voip güvenliği bkz: buffer overflow zafiyetleri bkz: ağ segmentasyonu
Bu içerik yapay zeka tarafından oluşturulmuştur.