Cybersicherheitsexperten haben vor den Risiken gewarnt, die von günstigen IP-KVM-Geräten (Keyboard, Video, Mouse über Internet Protocol) ausgehen, da diese Angreifern weitreichende Kontrolle über kompromittierte Hosts verschaffen können. Die neun Schwachstellen, die von **Eclypsium** entdeckt wurden, betreffen vier verschiedene Produkte von **GL-iNet** Comet RM-1, Angeet/Yeeso ES3 KVM, Sipeed NanoKVM und JetKVM. Die schwerwiegendsten davon ermöglichen es nicht authentifizierten Akteuren, Root-Zugriff zu erlangen oder bösartigen Code auszuführen. "Die gemeinsamen Themen sind vernichtend: fehlende Validierung von Firmware-Signaturen, kein Schutz vor Brute-Force-Angriffen, fehlerhafte Zugriffskontrollen und offene Debug-Schnittstellen", sagten die Forscher Paul Asadoorian und Reynaldo Vasquez Garcia [in einer Analyse](https://eclypsium.com/blog/your-kvm-is-the-weak-link-how-30-dollar-devices-can-own-your-entire-network/). ### Das Risiko der Fernübernahme IP-KVM-Geräte ermöglichen den Fernzugriff auf Tastatur-, Videoausgabe- und Maus-Eingaben eines Zielgeräts auf BIOS/UEFI-Ebene. Die Ausnutzung von Schwachstellen in diesen Produkten kann Systeme Übernahmerisiken aussetzen und bestehende Sicherheitskontrollen untergraben. Hier ist eine Aufschlüsselung der identifizierten Mängel: * **CVE-2026-32290** (CVSS-Score: 4.2) - Unzureichende Überprüfung der Firmware-Authentizität in **GL-iNet** Comet KVM (Korrektur wird geplant) * **CVE-2026-32291** (CVSS-Score: 7.6) - Schwachstelle für Root-Zugriff über Universal Asynchronous Receiver-Transmitter (UART) in **GL-iNet** Comet KVM (Korrektur wird geplant) * **CVE-2026-32292** (CVSS-Score: 5.3) - Schwachstelle für unzureichenden Brute-Force-Schutz in **GL-iNet** Comet KVM (Behoben in Version 1.8.1 BETA) * **CVE-2026-32293** (CVSS-Score: 3.1) - Unsichere initiale Bereitstellung über unauthentifizierte Cloud-Verbindung in **GL-iNet** Comet KVM (Behoben in Version 1.8.1 BETA) * **CVE-2026-32294** (CVSS-Score: 6.7) - Unzureichende Update-Überprüfung in JetKVM (Behoben in Version 0.5.4) * **CVE-2026-32295** (CVSS-Score: 7.3) - Unzureichende Ratenbegrenzung in JetKVM (Behoben in Version 0.5.4) * **CVE-2026-32296** (CVSS-Score: 5.4) - Offenlegung von Konfigurationsendpunkten in Sipeed NanoKVM (Behoben in NanoKVM Version 2.3.1 und NanoKVM Pro Version 1.2.4) * **CVE-2026-32297** (CVSS-Score: 9.8) - Fehlende Authentifizierung für eine kritische Funktion in Angeet ES3 KVM, die zur Ausführung beliebigen Codes führt (Keine Korrektur verfügbar) * **CVE-2026-32298** (CVSS-Score: 8.8) - Schwachstelle für Betriebssystem-Befehlsinjektion in Angeet ES3 KVM, die zur Ausführung beliebiger Befehle führt (Keine Korrektur verfügbar) ### Grundlegende Sicherheitsfehler "Dies sind keine exotischen zero-days, die monatelanges Reverse Engineering erfordern", bemerkten die Forscher. "Dies sind grundlegende Sicherheitskontrollen, die jedes vernetzte Gerät implementieren sollte. Eingabevalidierung. Authentifizierung. Kryptografische Verifizierung. Ratenbegrenzung. Wir betrachten die gleiche Klasse von Fehlern, die vor einem Jahrzehnt frühe IoT-Geräte plagten, aber jetzt bei einer Geräteklasse, die das Äquivalent physischen Zugriffs auf alles bietet, womit sie verbunden ist." Ein Angreifer kann diese Probleme nutzen, um Tastatureingaben einzuschleusen, von Wechselmedien zu booten, um Festplattenverschlüsselung oder Secure Boot zu umgehen, Bildschirmsperren zu umgehen und auf Systeme zuzugreifen, und vor allem, um von auf Betriebssystemebene installierter Sicherheitssoftware unentdeckt zu bleiben. ### Frühere Warnungen und Ausnutzung durch Nordkorea Dies ist nicht das erste Mal, dass Schwachstellen in IP-KVM-Geräten offengelegt werden. Im Juli 2025 wies der russische Cybersicherheitsanbieter **Positive Technologies** [auf fünf Fehler](https://global.ptsecurity.com/en/about/news/vulnerabilities-in-aten-international-switches-patched-with-the-assistance-of-pt-experts/) in **ATEN International** Switches (**CVE-2025-3710**, **CVE-2025-3711**, **CVE-2025-3712**, **CVE-2025-3713** und **CVE-2025-3714**) hin, die zu Denial-of-Service oder Remote Code Execution führen könnten. Darüber hinaus wurden IP-KVM-Switches wie PiKVM oder TinyPilot [von nordkoreanischen IT-Arbeitern](https://thehackernews.com/2025/07/us-arrests-key-facilitator-in-north.html) in Ländern wie China genutzt, um sich aus der Ferne mit von Unternehmen ausgegebenen Laptops zu verbinden, die auf Laptop-Farmen gehostet wurden. ### Abhilfemaßnahmen Um diese Risiken zu mindern, wird empfohlen: * Multi-Faktor-Authentifizierung (MFA) erzwingen, wo unterstützt. * KVM-Geräte in einem dedizierten Management-VLAN isolieren. * Internetzugriff einschränken. * Tools wie Shodan verwenden, um auf externe Exposition zu prüfen. * Unerwarteten Netzwerkverkehr zu/von den Geräten überwachen. * Die Firmware auf dem neuesten Stand halten. **Eclypsium** betont die Schwere eines kompromittierten KVM-Geräts. "Ein kompromittiertes KVM ist nicht wie ein kompromittiertes IoT-Gerät in Ihrem Netzwerk. Es ist ein direkter, stiller Kanal zu jeder Maschine, die es steuert", erklärten sie. "Ein Angreifer, der das KVM kompromittiert, kann Tools und backdoors auf dem Gerät selbst verstecken und Host-Systeme auch nach der Behebung immer wieder neu infizieren." "Da bei den meisten dieser Geräte Firmware-Updates keine Signaturprüfung aufweisen, könnte ein Angreifer in der Lieferkette die Firmware zum Zeitpunkt der Verteilung manipulieren und sie auf unbestimmte Zeit bestehen lassen."