低价IP KVM设备正成为网络安全的隐形定时炸弹。
Eclypsium研究人员最近挖出9个严重漏洞,横跨GL-iNet Comet RM-1、Angeet/Yeeso ES3 KVM、Sipeed NanoKVM和JetKVM四家产品。最狠的几个能让攻击者直接拿root权限或者远程执行恶意代码。想想看,这些设备本来就是用来远程操控主机键盘、显示器和鼠标的,连BIOS/UEFI层都能碰,一旦出事,整个服务器农场可能全军覆没。
研究人员Paul Asadoorian和Reynaldo Vasquez Garcia直言,这些问题太基础了。固件没签名验证、没有防暴力破解、访问控制形同虚设、调试接口直接暴露。听起来像十年前的IoT老毛病,现在却出现在能提供物理级访问的设备上。
具体看这9个CVE。
GL-iNet Comet KVM中招三个。CVE-2026-32290,CVSS 4.2,固件真实性验证不足,厂商说正在修。CVE-2026-32291,CVSS 7.6,通过UART能直接拿root,同样在计划修复。CVE-2026-32292,CVSS 5.3,暴力破解防护不够,已在1.8.1 BETA版修复。CVE-2026-32293,CVSS 3.1,初始配置通过未认证云连接搞定,也在同一beta版修好。
JetKVM也没逃掉。CVE-2026-32294,CVSS 6.7,更新验证不严,已在0.5.4版修复。CVE-2026-32295,CVSS 7.3,速率限制缺失,同版本已补。
Sipeed NanoKVM的问题是CVE-2026-32296,CVSS 5.4,配置端点暴露,在NanoKVM 2.3.1和NanoKVM Pro 1.2.4版已修复。
最要命的是Angeet ES3 KVM。CVE-2026-32297,CVSS 9.8,关键功能缺少认证,直接导致任意代码执行,至今没补丁。CVE-2026-32298,CVSS 8.8,操作系统命令注入,能执行任意命令,同样无修复。
这些漏洞一点都不高级。研究人员强调,它们不是需要几个月逆向的零日,而是任何联网设备都该做好的基本功:输入验证、认证机制、加密校验、速率限制。结果呢?全缺。
攻击者一旦得手,能注入键盘记录、从U盘启动绕过磁盘加密和Secure Boot、跳过锁屏直接进系统。更狠的是,这些操作发生在操作系统层之下,杀毒软件根本看不见。攻陷后还能把后门藏在KVM设备里,反复感染主机,就算你重装系统也没用。
这已经不是IP KVM第一次翻车。2025年7月,Positive Technologies就披露过ATEN交换机的5个漏洞,能导致拒绝服务或远程代码执行。现实中,北韩IT工人还用PiKVM、TinyPilot这类设备,远程操控摆在海外的“笔记本农场”电脑干活,风险可想而知。
当前市场环境下,加密资产波动剧烈,BTC现报$71,229(24h -4.26%),ETH现报$2,204(24h -5.67%),很多企业把服务器和钱包节点管得死死的,却忽略了远程管理设备这根“后门线”。一旦KVM被控,攻击者等于拿到了物理钥匙。
补救措施其实很清楚。支持MFA的地方必须开,KVM设备单独扔管理VLAN,坚决不给公网直连。用Shodan扫扫自家设备有没有暴露,盯着进出流量看异常,固件能升就升。
但现实是,很多低成本设备固件更新本身就没签名验证。供应链攻击者完全可以在分发环节动手脚,改完固件后永久生效。用户买回家用,还以为自己多了一层远程控制能力,结果成了别人的跳板。
Eclypsium最后那句话扎心:被攻陷的KVM不是普通IoT垃圾,它是直通每台主机的沉默通道。攻击者能把工具和后门藏在设备上,持续重新感染主机,哪怕你以为已经清理干净。
这波漏洞再次提醒行业,硬件安全不能只盯着高端服务器。那些几百块的远程管理小盒子,关键时刻能把整个安全体系打穿。企业该好好盘点一下机房里这些不起眼的设备了,别等真出事才后悔。