Нове дослідження компанії Eclypsium продемонструвало серйозний системний провал у безпеці IP KVM (KVM over IP) — недорогих пристроїв вартістю 30–100 доларів, які забезпечують віддалений доступ до серверів на рівні BIOS/UEFI. Виявлено дев’ять уразливостей у продуктах чотирьох виробників, частина з яких дозволяє отримати root-доступ або виконувати довільний код без будь-якої автентифікації, повністю оминаючи захист операційної системи.
IP KVM: низькорівневий доступ та новий клас ризиків для безпеки серверів
IP KVM надають адміністратору можливість бачити й керувати консоллю сервера навіть до старту операційної системи: змінювати налаштування BIOS/UEFI, обирати носій завантаження, підключати власні образи систем. Саме ця низькорівнева природа робить їх втручання надзвичайно потужним інструментом — і водночас привабливою ціллю для атак.
За оцінкою Eclypsium, виявлені проблеми не є «екзотичними» 0‑day‑експлойтами. Йдеться про порушення базової кібергігієни мережевих пристроїв: відсутність повноцінної валідації вхідних даних, слабка або неповна автентифікація, помилки в криптографічній перевірці оновлень прошивки, відсутність обмежень на кількість спроб входу. Подібні вади добре знайомі за ранніми IoT‑пристроями, але тепер вони з’являються в обладнанні, що фактично надає фізичний доступ до серверів.
Виробники та основні CVE: де саме проламано захист
Angeet/Yeeso ES3 KVM: віддалений доступ без автентифікації
Найбільш критичною ситуація виглядає для пристроїв Angeet/Yeeso ES3 KVM. Уразливість CVE-2026-32297 з оцінкою 9,8 за CVSS дозволяє неавтентифікованому зловмиснику читати довільні файли на пристрої. Друга проблема, CVE-2026-32298 (8,8 за CVSS), дає змогу виконувати системні команди через ін’єкцію команд у запитах.
Комбінація довільного читання файлів і віддаленого виконання команд відкриває шлях до повної компрометації як самого IP KVM, так і підключеного сервера. Додатковий фактор ризику — відсутність виправлень на момент публікації: виробник ще не надав оновлень прошивки, що закривають ці уразливості.
GL-iNet Comet RM-1: слабка перевірка прошивки та небезпечна хмарна конфігурація
Для GL-iNet Comet RM-1 дослідники описали одразу чотири уразливості:
CVE-2026-32290 (4,2 за CVSS) пов’язана з недостатньою перевіркою автентичності прошивки. За наявності контролю над процесом оновлення це відкриває можливість завантаження модифікованого образу з шкідливим кодом.
CVE-2026-32291 (7,6 за CVSS) дозволяє отримати root-доступ через інтерфейс UART. Формально потрібен фізичний доступ до пристрою, але в середовищах колокації або за участі зовнішніх підрядників така передумова не є нереалістичною.
CVE-2026-32292 описує слабкий захист від brute-force-атак під час автентифікації: обмеження на кількість спроб входу практично відсутні, що суттєво полегшує підбір паролів. Виробник посилив захист у бета-прошивці v1.8.1.
Нарешті, CVE-2026-32293 стосується небезпечної початкової конфігурації через неавтентифіковане хмарне з’єднання. Перехоплення цього процесу дає зловмиснику контроль над подальшими налаштуваннями KVM. Цю проблему також усунуто в бета-версії v1.8.1, і організаціям рекомендовано планувати оновлення до стабільного релізу з цими виправленнями.
Sipeed NanoKVM та JetKVM: уразливості вже закриті, але небезпека старих прошивок
У пристроях Sipeed NanoKVM відомі уразливості виправлені в прошивці v2.3.1. Для продуктів JetKVM два виявлені баги — CVE-2026-32294 та CVE-2026-32295 — усунено в прошивці версії 0.5.4.
Хоча ці уразливості описані публічно менш детально, висновок очевидний: експлуатація застарілих прошивок створює для атакувального боку вікно можливостей. Організаціям, які використовують Sipeed NanoKVM і JetKVM, варто перевірити версії прошивок і якнайшвидше оновитися до релізів із виправленнями.
IP KVM як поверхня атаки: паралелі з BMC та оголені пристрої в інтернеті
Відомий дослідник безпеки Хадсон Мур (HD Moore), засновник і керівник платформи runZero, звертає увагу, що неправильна конфігурація IP KVM може бути не менш небезпечною, ніж самі уразливості прошивки. За результатами його сканування, в інтернеті у відкритому доступі перебуває понад 1300 IP KVM, що приблизно на третину більше, ніж близько тисячі пристроїв, виявлених роком раніше.
Експерт проводить пряму аналогію між IP KVM та BMC-контролерами (Baseboard Management Controller), які вже давно вважаються критичною поверхнею атаки для серверів. Якщо зловмисник отримує контроль над KVM, компрометація підключеного сервера стає технічно нескладним завданням, навіть за наявності добре налаштованого мережевого та хостового захисту. Одна слабка ланка в контурі керування нівелює інвестиції в сегментацію мережі, міжмережеві екрани й системи виявлення вторгнень.
Практичні рекомендації: як захистити IP KVM в інфраструктурі
Щоб знизити ризики, пов’язані з уразливостями IP KVM та їх некоректною конфігурацією, варто реалізувати такі заходи:
- Інвентаризація та сканування мережі. Виявити всі пристрої IP KVM (включно з «забутими» або тимчасово встановленими) за допомогою спеціалізованих сканерів або стандартних мережевих інструментів.
- Оперативне оновлення прошивок. Перевірити моделі Angeet/Yeeso, GL-iNet, Sipeed, JetKVM і оновити їх до версій з виправленнями (мінімум Sipeed v2.3.1 та JetKVM 0.5.4, для GL-iNet — стабільна версія з виправленнями з v1.8.1).
- Сегментація та обмеження доступу. Не виводити IP KVM безпосередньо в інтернет. Розміщувати їх в ізольованих сегментах з доступом лише через VPN або суворо контрольовані адміністративні мережі.
- Посилення автентифікації. Використовувати унікальні складні паролі, за можливості вмикати двофакторну автентифікацію, відключати небезпечні режими початкової хмарної конфігурації, обов’язково змінювати заводські облікові записи.
- Моніторинг спроб входу. Увімкнути й регулярно аналізувати журнали автентифікації, застосовувати блокування облікових записів чи IP-адрес при множинних невдалих спробах для протидії brute-force.
- Урахування ризиків при закупівлі. Обираючи IP KVM, оцінювати не лише функціональність і ціну, а й зрілість процесів безпеки виробника: частоту оновлень, прозорість у розкритті уразливостей, швидкість реакції на звіти дослідників.
Ситуація з уразливостями IP KVM демонструє: навіть прості й відносно дешеві компоненти можуть стати точкою входу в найкритичніші сегменти інфраструктури. Проблема полягає не в рідкісних 0‑day, а в ігноруванні базових вимог до безпеки при розробці та експлуатації систем віддаленого керування. Організаціям варто поставитися до IP KVM і BMC як до критичних елементів архітектури: провести сканування мережі, оновити прошивки, обмежити доступ, переглянути політики автентифікації та включити ці пристрої до постійного процесу керування ризиками. Чим раніше будуть впроваджені такі кроки, тим менша ймовірність, що зручний інструмент адміністрування перетвориться на зручний інструмент атаки.
