Pesquisadores em cibersegurança alertam para os riscos de dispositivos IP KVM (Keyboard, Video, Mouse over Internet Protocol) de baixo custo, que podem conceder controle total dos sistemas comprometidos a invasores.
A empresa Eclypsium identificou nove vulnerabilidades em quatro produtos distintos: GL-iNet Comet RM-1, Angeet/Yeeso ES3 KVM, Sipeed NanoKVM e JetKVM.
Entre elas, as falhas mais críticas permitem acesso root sem autenticação ou execução de código malicioso.
Segundo os especialistas Paul Asadoorian e Reynaldo Vasquez Garcia, as vulnerabilidades revelam problemas básicos de segurança: ausência de validação da assinatura do firmware, falta de proteção contra ataques de força bruta, controles de acesso inadequados e interfaces de debug expostas.
Dispositivos IP KVM permitem o acesso remoto ao teclado, vídeo e mouse da máquina alvo, inclusive em nível BIOS/UEFI.
Isso significa que explorar essas vulnerabilidades com sucesso pode resultar no controle absoluto do sistema, comprometendo todas as soluções de segurança instaladas.
Confira abaixo as principais falhas encontradas, identificadas por seus códigos CVE e pontuação CVSS:
-
CVE-2026-32290
(4,2): verificação insuficiente da autenticidade do firmware no GL-iNet Comet KVM (correção planejada)
-
CVE-2026-32291
(7,6): vulnerabilidade de acesso root via UART no GL-iNet Comet KVM (correção planejada)
-
CVE-2026-32292
(5,3): proteção insuficiente contra força bruta no GL-iNet Comet KVM (corrigido na versão 1.8.1 BETA)
-
CVE-2026-32293
(3,1): provisionamento inicial inseguro via conexão cloud não autenticada no GL-iNet Comet KVM (corrigido na versão 1.8.1 BETA)
-
CVE-2026-32294
(6,7): verificação insuficiente de atualização no JetKVM (corrigido na versão 0.5.4)
-
CVE-2026-32295
(7,3): limite inadequado de taxa (rate limiting) no JetKVM (corrigido na versão 0.5.4)
-
CVE-2026-32296
(5,4): exposição do endpoint de configuração no Sipeed NanoKVM (corrigido nas versões NanoKVM 2.3.1 e NanoKVM Pro 1.2.4)
-
CVE-2026-32297
(9,8): falta de autenticação para função crítica no Angeet ES3 KVM, permitindo execução arbitrária de código (sem correção disponível)
-
CVE-2026-32298
(8,8): vulnerabilidade de injeção de comandos no sistema operacional no Angeet ES3 KVM, levando à execução arbitrária (sem correção disponível)
Os pesquisadores ressaltam que esses problemas não são exploits zero-day sofisticados, mas falhas fundamentais de segurança que qualquer dispositivo conectado deveria ter implementado.
Validação de entrada, autenticação, verificação criptográfica e controle de taxa são requisitos básicos negligenciados.
Criminosos podem explorar essas vulnerabilidades para injetar comandos pelo teclado, iniciar o sistema por mídia removível para burlar criptografia e Secure Boot, ultrapassar telas de bloqueio e acessar sistemas sem serem detectados pelas soluções de segurança instaladas no sistema operacional.
Não é a primeira vez que falhas são encontradas em dispositivos IP KVM.
Em julho de 2025, a empresa russa Positive Technologies revelou cinco vulnerabilidades em switches da ATEN International com riscos de negação de serviço e execução remota de código.
Além disso, switches IP KVM como PiKVM e TinyPilot são usados por profissionais norte-coreanos na China para acesso remoto a laptops corporativos hospedados em “fazendas de laptops”.
Para mitigar esses riscos, recomenda-se o uso de autenticação multifator (MFA) sempre que possível, isolar os dispositivos KVM em VLANs específicas de gestão, restringir o acesso à internet, monitorar exposições externas com ferramentas como Shodan, acompanhar tráfego inesperado e manter o firmware sempre atualizado.
“Um KVM comprometido não é um simples dispositivo IoT conectado à sua rede.
Ele oferece um canal direto e silencioso para todas as máquinas que controla”, afirmou a Eclypsium.
“Um invasor pode esconder ferramentas e backdoors no próprio KVM, reinfectando sistemas mesmo após tentativas de limpeza.”
A falta de verificação da assinatura nas atualizações de firmware facilita que um ataque na cadeia de suprimentos comprometa o dispositivo de forma persistente.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...