Μια πρόσφατη αξιολόγηση ασφάλειας από ερευνητές αποκάλυψε εννέα σοβαρά τρωτά σημεία σε τέσσερις δημοφιλείς συσκευές IP-KVM χαμηλού κόστους.
Αυτά τα ελαττώματα επιτρέπουν στους εισβολείς να αποκτήσουν πλήρη έλεγχο σε επίπεδο BIOS στα συνδεδεμένα συστήματα, παρακάμπτοντας αποτελεσματικά όλους τους ελέγχους ασφαλείας του λειτουργικού συστήματος και τους πράκτορες Ανίχνευσης και Απόκρισης Τελικού Σημείου (EDR).
Η παραβίαση μιας συσκευής πληκτρολογίου, βίντεο και ποντικιού (KVM) παρέχει στον εισβολέα το ισοδύναμο φυσικής πρόσβασης σε κάθε συνδεδεμένο μηχάνημα.
Αυτό επιτρέπει στους κακόβουλους φορείς να εισάγουν πληκτρολογήσεις, να εκκινούν από αφαιρούμενα μέσα για να παρακάμψουν την κρυπτογράφηση δίσκου και να αλλάξουν τις ρυθμίσεις του BIOS για να απενεργοποιήσουν την Ασφαλή εκκίνηση.
Επειδή το KVM λειτουργεί κάτω από το λειτουργικό σύστημα του κεντρικού υπολογιστή, οι εισβολείς παραμένουν εντελώς αόρατοι στα εργαλεία ασφαλείας που βασίζονται σε κεντρικό υπολογιστή, δημιουργώντας έναν εξαιρετικά επίμονο φορέα απειλής.
Αυτή η απειλή εκμεταλλεύεται ενεργά στη φύση. Το FBI ερεύνησε πρόσφατα απειλές που σχετίζονται με KVM και η Microsoft έχει τεκμηριώσει φορείς απειλών που χρηματοδοτούνται από το κράτος της Βόρειας Κορέας που χρησιμοποιούν IP-KVM για να δημιουργήσουν απομακρυσμένο φυσικό έλεγχο σε εταιρικούς φορητούς υπολογιστές.
Επιπλέον, πρόσφατες σαρώσεις έχουν εντοπίσει περισσότερες από 1.600 από αυτές τις συσκευές χαμηλού κόστους που εκτίθενται απευθείας στο διαδίκτυο, δημιουργώντας μια εκτεταμένη επιφάνεια επίθεσης για τους παράγοντες απειλών.
Οι ευπάθειες που ανακαλύφθηκαν επηρεάζουν συσκευές από τα GL-iNet, Angeet/Yeeso, Sipeed και JetKVM, οι οποίες κοστίζουν συνήθως μεταξύ 30 και 100 $.
Τα ελαττώματα προέρχονται από θεμελιώδεις αστοχίες υγιεινής ασφάλειας, όπως η έλλειψη επικύρωσης υπογραφής υλικολογισμικού, οι εκτεθειμένες διεπαφές εντοπισμού σφαλμάτων και τα κατεστραμμένα στοιχεία ελέγχου πρόσβασης.
| Πωλητής | Προϊόν | CVE | Τρωτό | CVSS 3.1 |
|---|---|---|---|---|
| GL-iNet | Κομήτης RM-1 | CVE-2026-32290 | Ανεπαρκής επαλήθευση υλικολογισμικού | 4.2 |
| GL-iNet | Κομήτης RM-1 | CVE-2026-32291 | Πρόσβαση ρίζας UART | 7.6 |
| GL-iNet | Κομήτης RM-1 | CVE-2026-32292 | Ανεπαρκής προστασία από ωμή βία | 5.3 |
| GL-iNet | Κομήτης RM-1 | CVE-2026-32293 | Μη ασφαλής παροχή cloud | 3.1 |
| Angeet/Yeeso | ES3 KVM | CVE-2026-32297 | Μεταφόρτωση αρχείου χωρίς έλεγχο ταυτότητας | 9.8 |
| Angeet/Yeeso | ES3 KVM | CVE-2026-32298 | Έγχυση εντολών λειτουργικού συστήματος | 8.8 |
| Sipeed | NanoKVM | CVE-2026-32296 | Έκθεση τελικού σημείου διαμόρφωσης | 5.4 |
| JetKVM | JetKVM | CVE-2026-32294 | Ανεπαρκής επαλήθευση ενημέρωσης | 6.7 |
| JetKVM | JetKVM | CVE-2026-32295 | Ανεπαρκής περιορισμός ποσοστού | 7.3 |
Το πιο σοβαρό εύρημα επηρεάζει το Angeet ES3 KVM, το οποίο περιέχει μια ευπάθεια μεταφόρτωσης αρχείων χωρίς έλεγχο ταυτότητας που, όταν συνδέεται με ένα ελάττωμα εισαγωγής εντολών, επιτρέπει την εκτέλεση απομακρυσμένου κώδικα πριν από τον έλεγχο ταυτότητας με δικαιώματα root.
Ομοίως ανησυχητικό είναι το GL-iNet Comet RM-1, το οποίο παρέχει πρόσβαση σε επίπεδο ρίζας χωρίς έλεγχο ταυτότητας μέσω της διεπαφής UART και βασίζεται αποκλειστικά σε ένα εύκολα πλαστογραφημένο hash MD5 για επαλήθευση υλικολογισμικού.
Στρατηγικές Μετριασμού
Για την προστασία των εταιρικών δικτύων από αυτές τις σοβαρές απειλές διαχείρισης εκτός ζώνης, οι ομάδες ασφαλείας πρέπει να αντιμετωπίζουν τις συσκευές IP-KVM ως κρίσιμης σημασίας υποδομή.
Σύμφωνα με την έρευνα του Eclypsium1οι διαχειριστές θα πρέπει να απομονώσουν αμέσως όλες τις συσκευές KVM σε ειδικά VLAN διαχείρισης και να διασφαλίσουν ότι δεν εκτίθενται ποτέ απευθείας στο Διαδίκτυο.
Η πρόσβαση θα πρέπει να περιορίζεται αυστηρά πίσω από τον ισχυρό έλεγχο ταυτότητας και τα εικονικά ιδιωτικά δίκτυα (VPN).
Επιπλέον, οι οργανισμοί πρέπει να κάνουν απογραφή των περιβαλλόντων τους για μη τεκμηριωμένα KVM, να παρακολουθούν την εξερχόμενη κυκλοφορία δικτύου για ανωμαλίες και να εφαρμόζουν τις πιο πρόσφατες ενημερώσεις κώδικα υλικολογισμικού όταν είναι διαθέσιμες από προμηθευτές.
