Günstige IP-KVM-Geräte für 30 bis 100 US‑Dollar entwickeln sich zu einem erheblichen Sicherheitsrisiko für Rechenzentren und Unternehmens-IT. Eine aktuelle Untersuchung von Eclypsium hat neun Schwachstellen in Produkten von vier Herstellern offengelegt, die in mehreren Fällen Root-Zugriff ohne Authentifizierung oder Remote Code Execution ermöglichen – noch bevor das Betriebssystem startet.
IP-KVM-Firmware als kritische Angriffsoberflaeche
IP KVM (Keyboard-Video-Mouse over IP) sitzen auf einer Ebene unterhalb des Betriebssystems und erlauben Admins, Server auf BIOS/UEFI-Ebene zu steuern, zu booten oder neu zu installieren. Genau dieser tiefgreifende Zugriff macht sie für Angreifer so attraktiv: Wer das IP-KVM kompromittiert, erhält de facto physischen Fernzugriff auf den Server – inklusive BIOS‑Änderungen, Boot von manipulierten Images und Umgehung von Netzwerk- und Host-Security-Kontrollen.
Die von Eclypsium beschriebenen Schwachstellen sind keine hochkomplexen Zero-Days, sondern Verstöße gegen elementare Security-Grundregeln bei Embedded- und IoT-Geräten: fehlende oder unzureichende Eingabevalidierung, lückenhafte Authentifizierung, mangelnde kryptografische Prüfung von Firmware-Updates und keinerlei Schutz vor Brute-Force-Angriffen. Solche Muster sind seit Jahren aus frühen IoT-Plattformen bekannt, treffen hier jedoch eine Komponente mit maximalen Rechten.
Betroffene Hersteller und CVEs im Detail
Angeet/Yeeso ES3 KVM: Remote-Kompromittierung ohne Login
Als besonders kritisch gelten die Schwachstellen in Angeet/Yeeso ES3 KVM. Die Lücke CVE-2026-32297 (CVSS 9,8) erlaubt es einem nicht authentifizierten Angreifer, beliebige Dateien auf dem Gerät auszulesen. Die zweite Schwachstelle, CVE-2026-32298 (CVSS 8,8), ermöglicht per Command Injection die Ausführung von Befehlen auf dem zugrunde liegenden Betriebssystem.
In Kombination eröffnen diese Fehler eine vollständige Übernahme des IP-KVM und im weiteren Schritt des angeschlossenen Servers. Besonders problematisch: Zum Zeitpunkt der Veröffentlichung standen keine Firmware-Patches zur Verfügung, was Betreiber zwingt, das Risiko über Netzwerk- und Zugangskontrollen abzufangen.
GL-iNet Comet RM-1: Von Firmware-Validierung bis Cloud-Onboarding
Im GL-iNet Comet RM-1 fanden die Forscher gleich vier Schwachstellen. CVE-2026-32290 (CVSS 4,2) beschreibt eine unzureichende Prüfung der Firmware-Signatur. Ein Angreifer, der den Update-Prozess beeinflussen kann, wäre in der Lage, manipulierte Images einzuspielen – ein Verstoß gegen Prinzipien, wie sie etwa NIST SP 800‑193 für Firmware-Sicherheit fordert.
CVE-2026-32291 (CVSS 7,6) erlaubt Root-Zugriff über die UART-Schnittstelle. Zwar ist physischer Zugang erforderlich, doch in Co-Location-Rechenzentren oder bei Wartungsdienstleistern ist dieses Szenario realistisch und muss in Risikoanalysen berücksichtigt werden.
Mit CVE-2026-32292 adressiert Eclypsium fehlende Schutzmechanismen gegen Brute-Force-Angriffe. Da Login-Versuche praktisch unbegrenzt sind, können schwache oder Standardpasswörter leicht erraten werden. Der Hersteller hat die Abwehr in einer Beta-Firmware v1.8.1 bereits verbessert.
CVE-2026-32293 betrifft eine unsichere Erstkonfiguration über eine nicht authentifizierte Cloud-Verbindung. Angreifer könnten den Onboarding-Prozess kapern und Konfigurationsparameter manipulieren. Auch diese Schwachstelle ist in der Beta v1.8.1 adressiert; Organisationen sollten den Umstieg auf eine stabile Version mit diesen Fixes einplanen.
Sipeed NanoKVM und JetKVM: Risiko durch veraltete Firmware
Für Sipeed NanoKVM wurden die identifizierten Schwachstellen in der Firmware v2.3.1 behoben. Bei JetKVM sind die beiden Lücken CVE-2026-32294 und CVE-2026-32295 seit Version 0.5.4 geschlossen. Auch wenn technische Details öffentlich nur begrenzt vorliegen, ist die Botschaft klar: veraltete Firmware bleibt ein unmittelbares Einfallstor für Angriffe auf Management-Infrastruktur.
Betreiber sollten daher umgehend prüfen, welche Versionen in ihrer Umgebung laufen, und fehlende Updates priorisiert einspielen – ein zentraler Baustein jeder Patch- und Vulnerability-Management-Strategie.
IP KVM und BMC: Zwei Seiten derselben Angriffsflaeche
Der Sicherheitsexperte HD Moore, Gründer von runZero, weist darauf hin, dass nicht nur Schwachstellen in der Firmware, sondern auch Fehlkonfigurationen von IP-KVM ein erhebliches Risiko darstellen. Seine Internet-Scans zeigen mehr als 1300 frei erreichbare IP-KVM-Geräte – ein Anstieg von rund einem Drittel gegenüber etwa 1000 Systemen im Vorjahr.
Moore zieht eine Parallele zu BMC-Controllern (Baseboard Management Controller), die sich in den vergangenen Jahren zu einer zentralen Angriffsoberfläche entwickelt haben. Wird ein KVM over IP kompromittiert, ist die Übernahme des angeschlossenen Servers in der Regel nur noch ein technisches Detail, selbst wenn dieser an sich gut gehärtet ist. Jede Schwachstelle im Out-of-Band-Management untergräbt somit Netzwerksegmentierung, IDS/IPS und weitere Sicherheitskontrollen.
Empfohlene Sicherheitsmassnahmen fuer IP-KVM in Unternehmen
Um das Risiko durch IP-KVM-Sicherheitslücken und Fehlkonfigurationen zu minimieren, sollten Organisationen mehrere technische und organisatorische Maßnahmen kombinieren:
- Inventarisierung und Netzwerkscans: Alle IP-KVM-Geräte identifizieren – inklusive älterer oder „vergessener“ Systeme. Hier helfen Asset-Discovery-Tools und gezielte Port-Scans auf typische Management-Ports.
- Konsequente Firmware-Updates: Firmwarestände für Angeet/Yeeso, GL-iNet, Sipeed und JetKVM prüfen und auf Versionen mit Sicherheitsfixes aktualisieren (mindestens Sipeed v2.3.1, JetKVM 0.5.4, bei GL-iNet eine stabile Version mit den Patches aus v1.8.1).
- Netzwerksegmentierung und Zugriffsbeschraenkung: IP-KVM niemals direkt ins Internet exponieren. Zugang ausschließlich über dedizierte, stark kontrollierte Admin-Netze oder VPN mit strikter Policy gewähren.
- Starke Authentifizierung: Standard-Zugangsdaten konsequent ändern, komplexe individuelle Passwörter verwenden und – wo möglich – Mehrfaktor-Authentifizierung aktivieren. Unsichere Cloud-Initialisierungsfunktionen deaktivieren.
- Monitoring und Angriffserkennung: Anmeldeversuche protokollieren, Logdaten zentral auswerten und Mechanismen zur temporären Sperre bei mehrfachen Fehlversuchen nutzen, um Brute-Force-Angriffe zu erschweren.
- Sicherheitskriterien in Beschaffungsprozessen: Bei der Auswahl von IP-KVM-Hardware nicht nur Preis und Features, sondern auch die Security-Reife des Herstellers bewerten: Update-Frequenz, Offenheit im Umgang mit CVEs und Reaktionszeit auf Forschungsberichte.
Die aktuellen IP-KVM-Sicherheitslücken machen deutlich, dass selbst unscheinbare und kostengünstige Komponenten in der Infrastruktur zum Startpunkt für hochwirksame Angriffe werden können. Entscheidend ist weniger der „spektakuläre“ Zero-Day als die konsequente Umsetzung grundlegender Security-Prinzipien bei Entwicklung, Konfiguration und Betrieb von Remote-Management-Lösungen. Organisationen sollten IP KVM und BMC-Controller daher als kritische Teile ihrer Sicherheitsarchitektur behandeln: Assets erfassen, Firmware aktualisieren, Zugriffswege überprüfen und Authentifizierungsrichtlinien verschärfen. Wer diese Hausaufgaben frühzeitig erledigt, reduziert die Wahrscheinlichkeit deutlich, dass ein komfortables Admin-Tool zur bequemsten Angriffsplattform im eigenen Rechenzentrum wird.
