Исследователи из компании Eclypsium обнаружили девять уязвимостей в IP KVM четырех разных производителей. Самые опасные из них позволяют получить root-доступ или выполнить произвольный код без какой-либо аутентификации.

IP KVM представляют собой устройства стоимостью от 30 до 100 долларов США, которые предоставляют администраторам удаленный доступ к машинам на уровне BIOS/UEFI, то есть еще до загрузки операционной системы.

Среди затронутых производителей — GL-iNet, Angeet/Yeeso, Sipeed и JetKVM.

Наиболее критичной специалисты называют ситуацию с устройствами Angeet/Yeeso ES3 KVM, так как проблема CVE-2026-32297 (9,8 балла по шкале CVSS) позволяет неаутентифицированным пользователям читать произвольные файлы, а CVE-2026-32298 (8,8 балла) — выполнять инъекции команд на уровне ОС. При этом патчей для этих уязвимостей до сих пор нет.

В девайсах GL-iNet Comet RM-1 обнаружили четыре бага: недостаточная валидация подлинности прошивки (CVE-2026-32290, 4,2 балла), root-доступ через UART (CVE-2026-32291, 7,6 балла), слабая защита от брутфорса (CVE-2026-32292, исправлена в бета-версии v1.8.1), а также небезопасная первоначальная настройка через неаутентифицированное облачное соединение (CVE-2026-32293, тоже закрыта в бета-версии).

Что касается Sipeed, устройства Sipeed NanoKVM получили патч в версии v2.3.1, а в JetKVM закрыли два бага (CVE-2026-32294 и CVE-2026-32295) в версии 0.5.4.

Однако уязвимости в прошивках — только одна сторона проблемы. Как отмечает известный ИБ-эксперт Хадсон Мур (HD Moore), основатель и глава runZero, неправильная настройка может быть даже хуже. Мур провел сканирование и обнаружил в интернете более 1300 таких устройств, против примерно тысячи, найденных им в июне прошлого года. Специалист пишет, что давно предупреждал об угрозах, связанных с BMC-контроллерами, а IP KVM создают схожую поверхность атаки.

Специалисты настоятельно рекомендуют просканировать сеть и проверить, нет ли в ней забытых IP KVM, и уже опубликовали инструменты для сканирования.