研究人员披露四家厂商IP KVM设备安全漏洞
研究人员近日披露了来自GL-iNet、Angeet/Yeeso、Sipeed和JetKVM四家厂商的IP KVM设备存在的多个安全漏洞。漏洞涵盖固件验证不足、未认证文件访问、命令注入、配置端点暴露及更新验证缺陷等问题,CVSS 3.1评分从3.1至9.8不等。
部分漏洞已获修复。GL-iNet的Comet RM-1设备在v1.8.1 BETA版本中修复了两个漏洞(CVE-2026-32292、CVE-2026-32293),JetKVM在0.5.4版本中修复了两个漏洞(CVE-2026-32294、CVE-2026-32295),Sipeed的NanoKVM在v2.3.1及Pro 1.2.4版本中修复了配置端点暴露漏洞(CVE-2026-32296)。
然而,Angeet/Yeeso的ES3 KVM设备漏洞(CVE-2026-32297、CVE-2026-32298)严重性极高,CVSS评分分别为9.8和8.8,目前尚无可用修复方案。
安全专家HD Moore表示,IP KVM设备若被攻破,可导致其连接的服务器被控制,即便服务器本身具备网络防护。他指出,该问题与基板管理控制器(BMC)风险类似。Moore的互联网扫描显示,当前暴露在公网的IP KVM设备超过1,300台,较2025年6月的约1,000台显着增加。
安全机构runZero与Eclypsium建议组织扫描网络以识别未被发现的IP KVM设备,并建议采用强密码、可靠VPN(如Wireguard或Tailscale)强化防护。Eclypsium已提供专用扫描工具供下载使用。
编辑点评
此次披露的IP KVM设备漏洞揭示了远程管理基础设施中的系统性安全风险。尽管IP KVM通常用于企业级服务器管理,但其暴露在公网且缺乏基本防护,使其成为攻击者进入内部网络的跳板。Angeet/Yeeso设备高达9.8的CVSS评分表明其存在严重未修复漏洞,可能被用于远程未授权访问、命令执行或横向移动,对关键基础设施构成直接威胁。
从全球安全治理角度看,此类漏洞凸显了供应链安全与设备制造商责任的缺失。部分厂商尚未提供修复方案,反映出安全响应机制的滞后。同时,暴露设备数量从1,000增至1,300台,说明部署管理不善问题普遍存在。这不仅影响企业,也可能波及政府机构、云服务提供商等关键领域。
未来,此类事件可能推动行业对远程管理设备的安全标准进行升级,包括强制固件签名、默认启用认证机制、定期安全审计等。同时,跨国组织需加强网络资产发现与配置管理,以应对“影子IT”和遗留设备带来的风险。