9 kritieke IP KVM-fouten maken niet-geverifieerde root-toegang mogelijk bij vier leveranciers

Cyberbeveiliging
9 kritieke IP KVM-fouten maken niet-geverifieerde root-toegang mogelijk bij vier leveranciers

Onderzoekers op het gebied van cyberbeveiliging hebben gewaarschuwd voor de risico’s van goedkope IP KVM-apparaten (Keyboard, Video, Mouse over Internet Protocol), die aanvallers uitgebreide controle kunnen geven over gecompromitteerde hosts.

De negen kwetsbaarheden, ontdekt door Eclypsiumomvat vier verschillende producten van GL-iNet Comet RM-1, Angeet/Yeeso ES3 KVM, Sipeed NanoKVM en JetKVM. Bij de ernstigste daarvan kunnen niet-geverifieerde actoren root-toegang verkrijgen of kwaadaardige code uitvoeren.

“De gemeenschappelijke thema’s zijn vernietigend: ontbrekende validatie van firmwarehandtekeningen, geen brute-force-bescherming, kapotte toegangscontroles en blootliggende debug-interfaces”, zeiden onderzoekers Paul Asadoorian en Reynaldo Vasquez Garcia in een analyse.

Omdat IP KVM-apparaten externe toegang mogelijk maken tot het toetsenbord, de video-uitvoer en de muisinvoer van de doelmachine op BIOS/UEFI-niveau, kan succesvol misbruik van kwetsbaarheden in deze producten systemen blootstellen aan potentiële overnamerisico’s, waardoor de ingevoerde beveiligingscontroles worden ondermijnd. De lijst met tekortkomingen is als volgt:

  • CVE-2026-32290 (CVSS-score: 4,2) – Een onvoldoende verificatie van de authenticiteit van de firmware in GL-iNet Comet KVM (oplossing wordt gepland)
  • CVE-2026-32291 (CVSS-score: 7,6) – Een kwetsbaarheid voor roottoegang van Universal Asynchronous Receiver-Transmitter (UART) in GL-iNet Comet KVM (oplossing wordt gepland)
  • CVE-2026-32292 (CVSS-score: 5.3) – Een onvoldoende brute-force beveiligingskwetsbaarheid in GL-iNet Comet KVM (opgelost in versie 1.8.1 BETA)
  • CVE-2026-32293 (CVSS-score: 3.1) – Een onveilige initiële provisioning via een niet-geverifieerde kwetsbaarheid voor cloudverbindingen in GL-iNet Comet KVM (opgelost in versie 1.8.1 BETA)
  • CVE-2026-32294 (CVSS-score: 6.7) – Een kwetsbaarheid voor onvoldoende updateverificatie in JetKVM (opgelost in versie 0.5.4)
  • CVE-2026-32295 (CVSS-score: 7,3) – Een kwetsbaarheid die de snelheid beperkt in JetKVM (opgelost in versie 0.5.4)
  • CVE-2026-32296 (CVSS-score: 5,4) – Een kwetsbaarheid voor blootstelling aan configuratie-eindpunten in Sipeed NanoKVM (opgelost in NanoKVM versie 2.3.1 en NanoKVM Pro versie 1.2.4)
  • CVE-2026-32297 (CVSS-score: 9,8) – Een ontbrekende authenticatie voor een kwetsbaarheid in een kritieke functie in Angeet ES3 KVM, wat leidt tot uitvoering van willekeurige code (geen oplossing beschikbaar)
  • CVE-2026-32298 (CVSS-score: 8,8) – Een kwetsbaarheid voor opdrachtinjectie in het besturingssysteem in Angeet ES3 KVM die leidt tot willekeurige uitvoering van opdrachten (geen oplossing beschikbaar)

“Dit zijn geen exotische zero-days die maanden van reverse engineering vereisen”, merkten de onderzoekers op. “Dit zijn fundamentele beveiligingscontroles die elk netwerkapparaat zou moeten implementeren. Invoervalidatie. Authenticatie. Cryptografische verificatie. Snelheidsbeperking. We kijken naar dezelfde klasse van fouten die de vroege IoT-apparaten tien jaar geleden teisterden, maar nu naar een apparaatklasse die het equivalent biedt van fysieke toegang tot alles waarmee het verbinding maakt.”

Een tegenstander kan deze problemen als wapen gebruiken om toetsaanslagen te injecteren, op te starten vanaf verwisselbare media om schijfversleuteling of Secure Boot-beveiligingen te omzeilen, vergrendelingsschermen te omzeilen en toegang te krijgen tot systemen, en, nog belangrijker, onopgemerkt te blijven door beveiligingssoftware die op besturingssysteemniveau is geïnstalleerd.

Dit is niet de eerste keer dat er kwetsbaarheden worden onthuld in IP KVM-apparaten. In juli 2025 signaleerde de Russische cyberbeveiligingsleverancier Positive Technologies vijf tekortkomingen in ATEN International-switches (CVE-2025-3710, CVE-2025-3711, CVE-2025-3712, CVE-2025-3713 en CVE-2025-3714) die de weg zouden kunnen vrijmaken voor denial-of-service of uitvoering van code op afstand.

Bovendien worden dergelijke IP KVM-switches zoals PiKVM of TinyPilot gebruikt door Noord-Koreaanse IT-medewerkers die in landen als China wonen om op afstand verbinding te maken met door het bedrijf uitgegeven laptops die op laptopboerderijen worden gehost.

Als oplossing wordt aanbevolen om multi-factor authenticatie (MFA) af te dwingen waar dit wordt ondersteund, KVM-apparaten te isoleren op een speciaal beheer-VLAN, de internettoegang te beperken, tools zoals Shodan te gebruiken om te controleren op externe blootstelling, te controleren op onverwacht netwerkverkeer van/naar de apparaten en de firmware up-to-date te houden.

“Een gecompromitteerde KVM is niet hetzelfde als een gecompromitteerd IoT-apparaat dat zich op uw netwerk bevindt. Het is een direct, stil kanaal naar elke machine die het bestuurt”, aldus Eclypsium. “Een aanvaller die de KVM compromitteert, kan tools en backdoors op het apparaat zelf verbergen, waardoor hostsystemen voortdurend opnieuw worden geïnfecteerd, zelfs na herstel.”

“Aangezien sommige firmware-updates op de meeste van deze apparaten geen handtekeningverificatie hebben, kan een aanvaller in de supply chain tijdens de distributie met de firmware knoeien en deze voor onbepaalde tijd laten voortduren.”

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Zorg voor het juiste dreigingsmodel

Hoe Mesh CSMA aanvalspaden naar kroonjuwelen onthult en verbreekt

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]