Исследователи раскрыли 9 критических уязвимостей IP KVM, которые позволяют получать несанкционированный доступ с правами root и контроль над скомпрометированными хостами. Устройства IP KVM обеспечивают удаленный доступ к клавиатуре, видеовыходу и мыши целевого компьютера на уровне BIOS/UEFI. Обнаруженные Eclypsium проблемы затрагивают четыре различных продукта: GL-iNet Comet RM-1, Angeet/Yeeso ES3 KVM, Sipeed NanoKVM и JetKVM. Наиболее серьезные из них позволяют неавторизованным пользователям получить root-доступ или запустить вредоносный код. Среди общих дефектов исследователи выделили: отсутствие проверки подписи прошивки, отсутствие защиты от брута, неработающие механизмы контроля доступа и открытые интерфейсы отладки, а их перечень выглядит следующим образом: - CVE-2026-32290 (CVSS: 4.2): недостаточная проверка подлинности прошивки в KVM-переключателе GL-iNet Comet (планируется исправление); - CVE-2026-32291 (CVSS: 7.6): проблема доступа к корневому каталогу универсального асинхронного приемопередатчика (UART) в KVM-сервере GL-iNet Comet (планируется исправление); - CVE-2026-32292 (CVSS: 5.3): недостаточная защита от брут-атак в GL-iNet Comet KVM (исправлено в версии 1.8.1 BETA); - CVE-2026-32293 (CVSS: 3.1): небезопасное первоначальное выделение ресурсов через неаутентифицированное облачное соединение в GL-iNet Comet KVM (исправлено в версии 1.8.1 BETA); - CVE-2026-32294 (CVSS: 6.7): недостаточная проверка обновлений в JetKVM (исправлено в версии 0.5.4); - CVE-2026-32295 (CVSS: 7.3): недостаточное ограничение скорости запросов в JetKVM (исправлено в версии 0.5.4); - CVE-2026-32296 (CVSS: 5.4): раскрытие конфигурации конечной точки в Sipeed NanoKVM (исправлено в NanoKVM версии 2.3.1 и Pro 1.2.4); - CVE-2026-32297 (CVSS: 9.8): отсутствие аутентификации для критической функции в Angeet ES3 KVM, приводящая к RCE (исправление отсутствует); - CVE-2026-32298 (CVSS: 8.8): внедрение команд ОС в Angeet ES3 KVM (исправление отсутствует). Как отмечает исследователи, это не какие-то экзотические 0-day, а просчеты в фундаментальных мерах безопасности, которые должны быть реализованы на любом сетевом устройстве. Злоумышленник может использовать эти уязвимости для внедрения нажатий клавиш, загрузки со съемных носителей с целью обхода шифрования диска или защиты Secure Boot, обхода экранов блокировки и доступа к системам, и, что более важно, оставаться незамеченным ПО безопасности, установленным на уровне ОС. Причем, это уже не первый случай обнаружения проблем в IP KVM-устройствах. Так, в июле 2025 года Positive Technologies выявляла пять уязвимостей в коммутаторах ATEN International (CVE-2025-3710, CVE-2025-3711, CVE-2025-3712, CVE-2025-3713 и CVE-2025-3714), которые могли привести к DoS и RCE. В качестве мер по снижению рисков рекомендуется внедрить MFa там, где это поддерживается, изолировать KVM-устройства в выделенной управляющей VLAN, ограничить доступ в Интернет, использовать такие инструменты, как Shodan, для проверки на наличие внешних угроз, отслеживать неожиданный сетевой трафик к/от устройств и поддерживать прошивку в актуальном состоянии. Ведь, как заявляют в Eclypsium, злоумышленник, взломавший KVM-переключатель, способен скрывать инструменты и бэкдоры на самом устройстве, повторно заражая хост-системы даже после устранения проблемы.