Новые результаты исследования компании Eclypsium вскрыли серьёзный системный провал в безопасности IP KVM — недорогих устройств стоимостью порядка 30–100 долларов, которые обеспечивают администраторам удалённый доступ к серверам на уровне BIOS/UEFI. Обнаруженные девять уязвимостей в продуктах четырёх производителей позволяют в ряде случаев получить root-доступ или выполнить произвольный код без какой-либо аутентификации, фактически обходя все механизмы защиты операционной системы.
Критические уязвимости в IP KVM и масштаб угрозы
IP KVM (Keyboard-Video-Mouse over IP) работают на самом низком уровне — до загрузки ОС. Это делает их удобным инструментом администрирования, но одновременно превращает в привлекательную цель для атак. Если злоумышленник захватывает такое устройство, он получает управление консолью сервера, возможность изменять настройки BIOS/UEFI, загружать собственные образы и обходить сетевые и хостовые средства защиты.
Исследователи Eclypsium подчёркивают, что речь идёт не о сложных 0-day-эксплойтах, а о нарушении базовой гигиены безопасности сетевых устройств: отсутствии корректной валидации входных данных, слабой или неполной аутентификации, проблемах с криптографической проверкой обновлений и отсутствии ограничений на число попыток входа. Подобный класс проблем хорошо знаком по ранним IoT-устройствам, но теперь он проявляется в оборудовании, которое даёт фактически физический доступ к серверам.
Затронутые производители и ключевые CVE
Angeet/Yeeso ES3 KVM: удалённый доступ без аутентификации
Наиболее критической эксперты называют ситуацию с устройствами Angeet/Yeeso ES3 KVM. Уязвимость CVE-2026-32297 с оценкой 9,8 по CVSS позволяет неаутентифицированному злоумышленнику читать произвольные файлы на устройстве. Вторая проблема, CVE-2026-32298 (8,8 по CVSS), даёт возможность выполнения команд на уровне операционной системы через инъекции команд.
Комбинация произвольного чтения файлов и удалённого выполнения команд создаёт условия для полного компрометации как самого IP KVM, так и подключённого к нему сервера. Дополнительный фактор риска — отсутствие патчей на момент публикации: производитель пока не предоставил обновления прошивки, устраняющие указанные уязвимости.
GL-iNet Comet RM-1: от прошивки до облачной настройки
В устройствах GL-iNet Comet RM-1 обнаружено сразу четыре уязвимости:
CVE-2026-32290 (4,2 по CVSS) связана с недостаточной проверкой подлинности прошивки. Это теоретически позволяет злоумышленнику загрузить модифицированный образ, если он может повлиять на процесс обновления.
CVE-2026-32291 (7,6 по CVSS) даёт возможность получить root-доступ через интерфейс UART. Формально это требует физического доступа, но в средах с совместным размещением оборудования или у подрядчиков по обслуживанию такое допущение может быть весьма опасным.
Уязвимость CVE-2026-32292 связана со слабой защитой от брутфорса при аутентификации. Отсутствие жёстких ограничений на число попыток входа упрощает подбор паролей. Производитель уже усилил защиту в бета-версии прошивки v1.8.1.
Наконец, CVE-2026-32293 описывает небезопасную первоначальную настройку через неаутентифицированное облачное соединение. Это создаёт риск перехвата процесса первичной конфигурации. Данная проблема также закрыта в бета-версии v1.8.1, и организациям рекомендуется планировать обновление до стабильной версии с этими исправлениями.
Sipeed NanoKVM и JetKVM: уязвимости уже закрыты, риск остаётся
Для устройств Sipeed NanoKVM уязвимости устранены в прошивке v2.3.1. В продуктах JetKVM два обнаруженных бага — CVE-2026-32294 и CVE-2026-32295 — были закрыты в версии прошивки 0.5.4. Хотя детали этих уязвимостей в публичном пространстве описаны менее подробно, общий вывод очевиден: эксплуатация устаревших прошивок создаёт окно возможностей для атак.
Организациям, использующим Sipeed NanoKVM и JetKVM, следует проверить текущие версии прошивок и при необходимости как можно скорее обновиться до релизов, в которых уязвимости устранены.
IP KVM как новая поверхность атаки: параллели с BMC
Известный эксперт по безопасности Хадсон Мур (HD Moore), основатель и руководитель runZero, подчёркивает, что неправильная конфигурация устройств IP KVM может быть не менее опасна, чем уязвимости прошивки. По результатам проведённого им сканирования, в открытом доступе в интернете находятся более 1300 таких устройств, что больше примерно на треть по сравнению с около тысячи устройств, обнаруженных им годом ранее в июне.
Эксперт проводит прямую параллель между IP KVM и BMC-контроллерами (Baseboard Management Controller), которые давно рассматриваются как критически важная поверхность атаки. Если атакующий компрометирует KVM, захватить подключённый сервер обычно несложно, даже если тот надёжно защищён от традиционных сетевых атак. Любая брешь в контуре управления подрывает эффективность уже внедрённых средств безопасности — от сегментации сети до систем обнаружения вторжений.
Практические рекомендации по защите IP KVM
Для минимизации рисков, связанных с уязвимостями IP KVM и их некорректной настройкой, целесообразно реализовать ряд мер:
- Инвентаризация и сканирование сети. Выполнить поиск всех IP KVM в инфраструктуре, включая давно установленные и «забытые» устройства. Можно использовать специализированные инструменты, уже опубликованные исследователями, или стандартные средства сетевого сканирования.
- Оперативное обновление прошивок. Проверить версии прошивок для Angeet/Yeeso, GL-iNet, Sipeed и JetKVM и обновиться до релизов, в которых уязвимости устранены (как минимум до Sipeed v2.3.1 и JetKVM 0.5.4; для GL-iNet — до стабильной версии, включающей исправления из v1.8.1).
- Сегментация и ограничение доступа. Не публиковать IP KVM напрямую в интернет. Размещать их в изолированных сегментах, с доступом только по VPN или через строго контролируемые административные сети.
- Усиление аутентификации. Использовать уникальные сложные пароли, по возможности включать двухфакторную аутентификацию, отключать небезопасные режимы инициальной облачной настройки и обязательно менять заводские учётные данные.
- Мониторинг и контроль попыток входа. Включать и отслеживать логи аутентификации, внедрять механизмы блокировки учётных записей и адресов при множественных неудачных попытках входа, чтобы снизить риск брутфорса.
- Учёт рисков при закупке. При выборе IP KVM учитывать не только функциональность и цену, но и зрелость процессов безопасности производителя: наличие регулярных обновлений, прозрачность в раскрытии уязвимостей, скорость реакции на отчёты исследователей.
Ситуация с уязвимостями в IP KVM показывает, что даже простые и недорогие элементы инфраструктуры способны стать точкой входа для атак с максимальными последствиями. Проблема кроется не в экзотических 0-day, а в игнорировании базовых требований безопасности при разработке и эксплуатации устройств удалённого управления. Организациям стоит отнестись к IP KVM и BMC как к критически важной части своей архитектуры: провести сканирование сети, обновить прошивки, пересмотреть схемы доступа и политики аутентификации. Чем раньше такие меры будут приняты, тем ниже вероятность того, что удобный инструмент администрирования превратится в удобный инструмент атаки.
