Современные системы защиты информации выстроены в многоуровневую оборону, однако существует вектор атаки, способный обойти их все разом, - это компрометация устройств удалённого физического доступа. Команда исследователей компании Eclypsium провела системный анализ безопасности недорогих IP-KVM переключателей и обнаружила девять серьёзных уязвимостей в продуктах четырёх вендоров. Эти находки обнажают фундаментальные провалы в базовой гигиене безопасности целого класса устройств, которые, по сути, предоставляют злоумышленнику полный физический контроль над подключёнными компьютерами, включая доступ на уровне BIOS (базовой системы ввода-вывода).
Почему IP-KVM - это критическая поверхность атаки?
IP-KVM (Keyboard, Video, Mouse over IP) - это устройство, позволяющее удалённо, через сеть, управлять физической периферией компьютера: клавиатурой, монитором и мышью. В отличие от программных решений удалённого доступа, IP-KVM работает ниже уровня операционной системы. Это означает, что злоумышленник, получивший контроль над таким переключателем, может инжектировать нажатия клавиш, изменять настройки BIOS, загружать систему со смонтированного образа или обходить полнодисковое шифрование. При этом системы обнаружения вторжений (IDS), средства защиты конечных точек (EDR) и другие средства безопасности на самой управляемой машине остаются слепы к такой активности, поскольку она эмулирует действия легитимного пользователя, сидящего за физическим компьютером.
Интерес к безопасности этого класса устройств неслучаен. Между тем, в отчёте Microsoft о кибератаках задокументировано, как северокорейские удалённые работники использовали устройства типа PiKVM для прямого подключения к корпоративным ноутбукам, получая удалённый физический контроль. SANS Internet Storm Center также публиковал предупреждения о рисках, связанных с таким внеполосным доступом. Рынок наводнили недорогие устройства стоимостью от 30 до 100 долларов, такие как JetKVM, Sipeed NanoKVM, GL-iNet Comet и Angeet ES3, которые привлекательны для малого бизнеса, провайдеров управляемых услуг (MSP) и даже корпораций. По данным Shodan, количество подобных устройств, открыто доступных в интернете, выросло с 404 в июне 2025 года до 1611 в январе 2026-го.
Обзор уязвимостей: от недостаточной проверки до выполнения команд
Исследователи Eclypsium, Рейнальдо Васкес Гарсия и Пол Асадориан, выявили проблемы, охватывающие семь различных классов уязвимостей. Общими для большинства устройств стали отсутствие криптографической проверки подлинности прошивок, защита от перебора паролей, сломанный контроль доступа и открытые отладочные интерфейсы.
- GL-iNet Comet RM-1: В этом устройстве обнаружены четыре уязвимости. Наиболее серьёзные из них - CVE-2026-32290 (недостаточная проверка подлинности прошивки на основе устаревшего MD5) и CVE-2026-32291 (незащищённый UART-интерфейс, дающий root-доступ при физическом контакте). Производитель не планирует исправлять эти две проблемы. Уязвимости CVE-2026-32292 (отсутствие защиты от перебора паролей) и CVE-2026-32293 (небезопасная первоначальная настройка) были частично исправлены в бета-версии прошивки 1.8.1.
- Angeet/Yeeso ES3 KVM: Здесь выявлена наиболее опасная цепочка уязвимостей. CVE-2026-32297 позволяет неаутентифицированному злоумышленнику записывать произвольные файлы на устройство через открытый порт. В сочетании с CVE-2026-32298 (внедрение операционной команды) это даёт путь к выполнению произвольного кода с правами root без необходимости знать пароль. На момент публикации исследования вендор не предоставил исправлений и чётких сроков их выпуска.
- Sipeed NanoKVM: Уязвимость CVE-2026-32296 связана с неправильной настройкой контроля доступа к конечной точке конфигурации Wi-Fi. Это позволяло злоумышленнику переподключать устройство к контролируемой точке доступа, вызывать отказ в обслуживании или исчерпание памяти. Данная проблема была полностью устранена в обновлениях прошивки.
- JetKVM: В популярном открытом устройстве найдены две уязвимости. CVE-2026-32294 - недостаточная проверка обновлений, основанная только на хеше SHA-256 без криптографической подписи. CVE-2026-32295 - отсутствие ограничения скорости попыток входа, что открывает путь к brute-force атаке. Команда JetKVM оперативно выпустила исправления в версии 0.5.4.
Последствия и риски для бизнеса
Компрометация KVM-устройства - это не просто ещё одна точка входа в сеть. Это получение «ключей от королевства». Атакующий может незаметно закрепиться в системе (persistence), оставаясь невидимым для средств защиты на хосте. Он способен устанавливать долгосрочные backdoor-ы, которые будут переживать даже полную переустановку операционной системы на управляемых машинах. Для промышленных систем (OT), медицинского оборудования, критической инфраструктуры и центров обработки данных такие риски неприемлемы, так как ведут к прямому операционному и финансовому ущербу.
Рекомендации по защите
Безопасность в данном случае ложится на плечи операторов, развернувших эти устройства. Эксперты Eclypsium рекомендуют немедленно предпринять следующие шаги. Во-первых, необходимо провести инвентаризацию всех KVM-устройств в инфраструктуре, используя, например, поиск в Shodan по характерным заголовкам. Все такие устройства должны быть изолированы в выделенной управляющей VLAN и ни в коем случае не иметь прямого доступа из интернета. Для удалённого управления следует использовать VPN-решения, такие как WireGuard. Крайне важно включить и настроить строгую аутентификацию, используя сложные уникальные пароли, а также применить все доступные обновления прошивок от вендоров. Кроме того, необходимо следить за сетевой активностью KVM-устройств на предмет аномальных исходящих подключений. В конечном счёте, при выборе подобных решений следует отдавать предпочтение вендорам, демонстрирующим ответственный подход к безопасности и оперативно выпускающим патчи, а также рассматривать устройства корпоративного класса с изначально более строгими требованиями к защите.
Ссылки
- https://eclypsium.com/blog/your-kvm-is-the-weak-link-how-30-dollar-devices-can-own-your-entire-network/
- https://isc.sans.edu/diary/Risks+of+OOB+Access+via+IP+KVM+Devices/31824
