Исследователи в области кибербезопасности выступили с серьезным предупреждением о серии критических уязвимостей, обнаруженных в недорогих IP KVM-устройствах (клавиатура, видео, мышь по интернет-протоколу). Эти уязвимости, обнаруженные компанией Eclypsium, затрагивают продукты четырех вендоров — GL-iNet Comet RM-1, Angeet/Yeeso ES3 KVM, Sipeed NanoKVM и JetKVM — и в совокупности позволяют злоумышленникам получать обширный, неаутентифицированный контроль над подключенными системами. Наиболее серьезные уязвимости позволяют злонамеренным акторам получать root-доступ или выполнять произвольный код, фактически передавая им ключи от королевства любого скомпрометированного хоста.
Основные причины этих девяти уязвимостей рисуют удручающую картину фундаментальных провалов в безопасности. По словам исследователей Пола Асадориана и Рейнальдо Васкеса Гарсии, устройства страдают от отсутствия проверки подписи микропрограммы, недостаточной защиты от brute-force-атак, нарушенного контроля доступа и открытых интерфейсов отладки. Это не сложные, труднонаходимые zero-day уязвимости, а базовые элементы безопасности, которые должно реализовывать любое сетевое устройство, такие как правильная проверка ввода, аутентификация, криптографическая верификация и ограничение частоты запросов. Исследователи провели прямую параллель с проблемами безопасности, которые преследовали ранние устройства Интернета вещей (IoT) десять лет назад, отметив, что ставки сейчас значительно выше, поскольку IP KVM обеспечивают цифровой эквивалент физического доступа к каждой системе, к которой они подключены.
Последствия успешной эксплуатации серьезны. Скомпрометировав IP KVM-устройство, которое работает на уровне BIOS/UEFI для обеспечения удаленного управления клавиатурой, видео и мышью, злоумышленник может выполнить ряд вредоносных действий. К ним относятся инъекция нажатий клавиш, загрузка со съемных носителей для обхода шифрования диска или Secure Boot, обход экранов блокировки операционной системы и доступ к конфиденциальным системам. Что особенно важно, поскольку эти атаки происходят на уровне ниже операционной системы, они могут оставаться полностью незамеченными программным обеспечением безопасности, работающим на хост-машине, что позволяет обеспечить постоянный и скрытый доступ.
Это раскрытие является частью тревожной тенденции уязвимостей в аппаратном обеспечении удаленного управления. Оно следует за отчетом июля 2025 года российской компании по кибербезопасности Positive Technologies, в котором подробно описаны пять уязвимостей в коммутаторах KVM компании ATEN International. Повторяющаяся тема подчеркивает критический риск цепочки поставок: организации часто развертывают эти устройства для управления критической инфраструктурой, серверами и системами промышленного контроля в предположении, что они повышают операционную эффективность, не рассматривая их в полной мере как потенциальные векторы атак. Полученные результаты служат срочным напоминанием организациям о необходимости тщательной проверки и сегментации аппаратного обеспечения удаленного управления, немедленного применения доступных исправлений и учета уровня безопасности всех подключенных устройств в своей модели угроз.
