Los investigadores de ciberseguridad advierten sobre los riesgos que plantean los dispositivos IP KVM (teclado, vídeo y ratón sobre protocolo de Internet) de bajo coste. Potencialmente, estos dispositivos pueden brindarle a un atacante un amplio control sobre un host comprometido.
Las nueve vulnerabilidades descubiertas por Eclypsium abarcan cuatro productos diferentes: GL-iNet Comet RM-1, Angeet/Yeeso ES3 KVM, Sipeed NanoKVM y JetKVM. Los más graves permiten que un atacante no autenticado obtenga acceso de root o ejecute código malicioso.
«Los temas comunes son atroces: falta de verificación de firma de firmware, falta de protección de fuerza bruta, controles de acceso rotos e interfaces de depuración expuestas», dijeron los investigadores Paul Asadourian y Reynaldo Vázquez García en su análisis.
El uso de dispositivos IP KVM que permiten el acceso remoto al teclado, la salida de video y la entrada del mouse de una máquina de destino a nivel BIOS/UEFI puede exponer los sistemas a posibles riesgos de adquisición y comprometer los controles de seguridad existentes si se explotan a través de vulnerabilidades en estos productos. Aquí está la lista de desventajas:
CVE-2026-32290 (Puntuación CVSS: 4,2) – Validación de confianza de firmware insuficiente de GL-iNet Comet KVM (para solucionar) CVE-2026-32291 (Puntuación CVSS: 7,6) – Vulnerabilidad de acceso raíz del transmisor/receptor asíncrono universal (UART) de GL-iNet Comet KVM (para solucionar) CVE-2026-32292 (Puntuación CVSS: 5.3) – Vulnerabilidad de protección de fuerza bruta insuficiente de GL-iNet Comet KVM (corregido en la versión 1.8.1 BETA) CVE-2026-32293 (Puntuación CVSS: 3.1) – Vulnerabilidad de aprovisionamiento inicial inseguro de GL-iNet Comet KVM a través de una conexión a la nube no autenticada (versión CVE-2026-32294 (CVSS) puntuación: 6,7) – Vulnerabilidad de validación de actualización insuficiente de JetKVM (solucionada en la versión 0.5.4) CVE-2026-32295 (puntuación CVSS: 7,3) – Vulnerabilidad de limitación de velocidad insuficiente de JetKVM (solucionada en la versión 0.5.4) CVE-2026-32296 (puntuación CVSS: 5,4) – Vulnerabilidad de exposición del terminal de configuración de Sipeed NanoKVM (solucionada en NanoKVM versión 2.3.1 y NanoKVM Pro versión 1.2.4) CVE-2026-32297 (Puntuación CVSS: 9.8) – Angeet ES3 KVM CVE-2026-32298 (Puntuación CVSS: 8.8) – Vulnerabilidad de inyección de comandos del sistema operativo en Angeet ES3 KVM permite la ejecución de comandos arbitrarios (no hay solución disponible)
«Estos no son raros días cero que requieren meses de ingeniería inversa», señalaron los investigadores. «Estos son los controles de seguridad básicos que cualquier dispositivo en red debe implementar: validación de entrada, autenticación, validación criptográfica, limitación de velocidad. Estamos viendo la misma clase de fallas que plagaron los primeros dispositivos IoT hace una década, pero ahora para una clase de dispositivos que equivale al acceso físico a todo lo que se conectan».
Los atacantes pueden utilizar estos problemas como arma para inyectar pulsaciones de teclas, evitar el cifrado del disco y proteger la protección de arranque arrancando desde medios extraíbles, evitar la pantalla de bloqueo para obtener acceso al sistema y, lo que es más importante, evitar la detección por parte del software de seguridad instalado en el nivel del sistema operativo.
Esta no es la primera vez que se revelan vulnerabilidades en dispositivos KVM IP. En julio de 2025, el proveedor ruso de ciberseguridad Positive Technologies informó cinco fallas (CVE-2025-3710, CVE-2025-3711, CVE-2025-3712, CVE-2025-3713 y CVE-2025-3714) que podrían allanar el camino para la denegación de servicio o la ejecución remota de código en los conmutadores de ATEN International.
Además, los trabajadores de TI norcoreanos en países como China utilizan conmutadores KVM IP como PiKVM y TinyPilot para conectarse de forma remota a computadoras portátiles proporcionadas por la empresa alojadas en granjas de computadoras portátiles.
Como mitigación, recomendamos aplicar la autenticación multifactor (MFA) cuando sea compatible, aislar los dispositivos KVM en una VLAN de administración dedicada, restringir el acceso a Internet, usar herramientas como Shodan para verificar la exposición externa, monitorear el tráfico de red inesperado hacia y desde el dispositivo y mantener el firmware actualizado.
«Un KVM comprometido es diferente de un dispositivo IoT comprometido que reside en su red; es un canal directo y silencioso hacia todas las máquinas controladas», dijo Eclypsium. «Un atacante que compromete KVM puede ocultar herramientas y puertas traseras en el propio dispositivo y continuar reinfectando los sistemas host incluso después de la reparación».
«La mayoría de estos dispositivos carecen de verificación de firma en algunas actualizaciones de firmware, lo que permite a los atacantes de la cadena de suministro modificar el firmware durante la distribución y potencialmente persistir para siempre».
Source link
