Un nuevo estudio de Eclypsium ha identificado nueve vulnerabilidades en dispositivos IP KVM de cuatro fabricantes, capaces de ofrecer a un atacante control de nivel BIOS/UEFI sobre servidores corporativos. Estos equipos, que suelen costar entre 30 y 100 dólares, se utilizan para administración remota fuera de banda, pero en muchos casos presentan fallos básicos de seguridad que permiten eludir por completo la protección del sistema operativo.
Qué son los IP KVM y por qué su seguridad es crítica
Los IP KVM (Keyboard-Video-Mouse over IP) permiten gestionar un servidor como si se estuviera delante de él: ver la consola, interactuar con el firmware y arrancar desde imágenes remotas, incluso antes de que la máquina cargue el sistema operativo. Esta capacidad los convierte en una herramienta esencial para centros de datos, proveedores de hosting y equipos de TI distribuidos.
Precisamente por operar por debajo de la capa de sistema operativo, un IP KVM comprometido otorga al atacante un acceso equivalente al físico. Esto incluye modificar la configuración de BIOS/UEFI, instalar hipervisores maliciosos, desactivar controles de seguridad o cargar sistemas alterados, burlando firewalls, EDR y otras defensas a nivel de host y red.
Nueve vulnerabilidades en IP KVM: fabricantes y CVE afectados
Angeet/Yeeso ES3 KVM: ejecución remota sin autenticación
El caso más grave afecta a los dispositivos Angeet/Yeeso ES3 KVM. La vulnerabilidad CVE-2026-32297, con puntuación 9,8 en CVSS, permite a un atacante remoto y no autenticado leer archivos arbitrarios en el dispositivo. A esto se suma CVE-2026-32298 (8,8 CVSS), que habilita la ejecución de comandos en el sistema operativo mediante inyección de comandos.
Combinadas, estas vulnerabilidades facilitan la toma completa del IP KVM y, en cascada, del servidor conectado. El riesgo se ve agravado por la ausencia de parches de firmware disponibles al momento del informe, lo que deja a las organizaciones dependientes de medidas compensatorias de red y acceso.
GL-iNet Comet RM-1: firmware, UART y provisión en la nube
En los modelos GL-iNet Comet RM-1 se han identificado cuatro fallos de seguridad. CVE-2026-32290 (4,2 CVSS) se relaciona con una validación insuficiente de la autenticidad del firmware, lo que abre la puerta a cargar imágenes modificadas si el atacante puede interferir en el proceso de actualización.
La vulnerabilidad CVE-2026-32291 (7,6 CVSS) permite obtener acceso root a través de la interfaz UART. Aunque requiere acceso físico, este vector es relevante en entornos de colocación, proveedores de servicios gestionados o instalaciones con múltiples terceros.
Por su parte, CVE-2026-32292 refleja una protección débil frente a ataques de brute force durante la autenticación, al no limitar adecuadamente el número de intentos. Y CVE-2026-32293 describe una configuración inicial insegura mediante conexión en la nube sin autenticación robusta, que podría ser interceptada en el despliegue.
GL-iNet ha reforzado la seguridad en la versión beta de firmware v1.8.1, y se recomienda planificar la migración a la versión estable que incorpore estos parches tan pronto como esté disponible.
Sipeed NanoKVM y JetKVM: riesgo latente por firmware desactualizado
En los dispositivos Sipeed NanoKVM, las vulnerabilidades reportadas se han corregido en el firmware v2.3.1. En el caso de JetKVM, los fallos identificados —CVE-2026-32294 y CVE-2026-32295— fueron solventados en la versión 0.5.4.
Aunque los detalles técnicos publicados son limitados, el patrón coincide con problemas habituales en equipos de gestión remota: controles de autenticación débiles, falta de validación de entrada y mecanismos cripto insuficientes. Como sucede con routers domésticos o cámaras IP, el riesgo real proviene de dispositivos que permanecen años sin actualizar.
IP KVM como nueva superficie de ataque, al nivel de los BMC
El investigador HD Moore, fundador de runZero, subraya que la mala configuración de los IP KVM puede ser tan peligrosa como las propias vulnerabilidades de firmware. En un escaneo reciente identificó más de 1300 IP KVM expuestos directamente a Internet, aproximadamente un 30 % más que el año anterior, un patrón coherente con hallazgos previos en motores de búsqueda de dispositivos como Shodan.
Moore establece un paralelismo claro con los controladores BMC (Baseboard Management Controller), ampliamente reconocidos como una superficie de ataque crítica. Una vez comprometido un IP KVM, el paso siguiente suele ser la toma del servidor, incluso cuando este cumple con buenas prácticas de endurecimiento y segmentación de red. En términos de riesgo, ignorar la seguridad de IP KVM o BMC equivale a dejar una puerta trasera abierta al corazón de la infraestructura.
Buenas prácticas para proteger IP KVM en entornos corporativos
Para mitigar las vulnerabilidades de IP KVM y reducir su superficie de ataque, es aconsejable aplicar un enfoque sistemático basado en buenas prácticas de ciberseguridad:
- Inventario y descubrimiento de activos: localizar todos los IP KVM en la red, incluidos equipos heredados. Herramientas de escaneo y soluciones de gestión de activos pueden identificar estos dispositivos por puertos característicos y firmas HTTP.
- Actualización de firmware y gestión de parches: comprobar y actualizar a Sipeed NanoKVM v2.3.1, JetKVM 0.5.4 y versiones estables de GL-iNet que incorporen los parches de la v1.8.1. Para Angeet/Yeeso, reforzar controles de red mientras no existan correcciones oficiales.
- Segmentación de red y acceso restringido: evitar exponer IP KVM a Internet. Ubicarlos en redes de administración segregadas, accesibles solo a través de VPN seguras o salt servers con políticas de Zero Trust.
- Endurecimiento de autenticación: eliminar credenciales por defecto, usar contraseñas únicas y robustas, activar autenticación multifactor cuando sea posible y deshabilitar modos de configuración en la nube inseguros.
- Monitorización y defensa frente a brute force: revisar y activar registros de autenticación, establecer bloqueos temporales ante múltiples intentos fallidos y, cuando sea viable, integrar estos eventos en un SIEM para correlación y alerta temprana.
- Criterios de compra basados en seguridad: evaluar a los fabricantes de IP KVM por su madurez en gestión de vulnerabilidades, frecuencia de actualizaciones, transparencia en boletines de seguridad y capacidad de respuesta ante informes de investigadores.
El caso de las vulnerabilidades en IP KVM demuestra que incluso dispositivos económicos y discretos pueden convertirse en la vía de entrada a los sistemas más críticos. La mayoría de los problemas detectados no son ataques sofisticados de día cero, sino fallos en la aplicación de principios básicos de seguridad. Incorporar los IP KVM y los BMC al mismo nivel de criticidad que los servidores que administran —inventariando, actualizando, segmentando y monitorizando su uso— es esencial para reducir la exposición. Actuar ahora, antes de que estas debilidades se exploten de forma masiva, es una oportunidad para reforzar de manera preventiva la resiliencia de la infraestructura.
