Des chercheurs en cybersécurité ont alerté sur les risques posés par les appareils IP KVM (Keyboard, Video, Mouse over Internet Protocol) peu coûteux, qui peuvent accorder aux attaquants un contrôle étendu sur les hôtes compromis. Les neuf vulnérabilités, découvertes par **Eclypsium**, concernent quatre produits différents de **GL-iNet** Comet RM-1, Angeet/Yeeso ES3 KVM, Sipeed NanoKVM et JetKVM. Les plus graves d'entre elles permettent à des acteurs non authentifiés d'obtenir un accès root ou d'exécuter du code malveillant. « Les thèmes communs sont accablants : absence de validation de la signature du firmware, absence de protection contre la force brute, contrôles d'accès défaillants et interfaces de débogage exposées », ont déclaré les chercheurs Paul Asadoorian et Reynaldo Vasquez Garcia [dans une analyse](https://eclypsium.com/blog/your-kvm-is-the-weak-link-how-30-dollar-devices-can-own-your-entire-network/). ### Le risque de prise de contrôle à distance Les appareils IP KVM permettent un accès à distance au clavier, à la sortie vidéo et à l'entrée de la souris d'une machine cible au niveau du BIOS/UEFI. L'exploitation des vulnérabilités dans ces produits peut exposer les systèmes à des risques de prise de contrôle, sapant les contrôles de sécurité existants. Voici une ventilation des lacunes identifiées : * **CVE-2026-32290** (score CVSS : 4.2) - Vérification insuffisante de l'authenticité du firmware dans **GL-iNet** Comet KVM (Correction prévue) * **CVE-2026-32291** (score CVSS : 7.6) - Vulnérabilité d'accès root via Universal Asynchronous Receiver-Transmitter (UART) dans **GL-iNet** Comet KVM (Correction prévue) * **CVE-2026-32292** (score CVSS : 5.3) - Vulnérabilité de protection insuffisante contre la force brute dans **GL-iNet** Comet KVM (Corrigé dans la version 1.8.1 BETA) * **CVE-2026-32293** (score CVSS : 3.1) - Provisionnement initial non sécurisé via une connexion cloud non authentifiée dans **GL-iNet** Comet KVM (Corrigé dans la version 1.8.1 BETA) * **CVE-2026-32294** (score CVSS : 6.7) - Vulnérabilité de vérification insuffisante des mises à jour dans JetKVM (Corrigé dans la version 0.5.4) * **CVE-2026-32295** (score CVSS : 7.3) - Limitation de débit insuffisante dans JetKVM (Corrigé dans la version 0.5.4) * **CVE-2026-32296** (score CVSS : 5.4) - Exposition du point de terminaison de configuration dans Sipeed NanoKVM (Corrigé dans la version NanoKVM 2.3.1 et NanoKVM Pro version 1.2.4) * **CVE-2026-32297** (score CVSS : 9.8) - Absence d'authentification pour une fonction critique dans Angeet ES3 KVM entraînant une exécution de code arbitraire (Aucune correction disponible) * **CVE-2026-32298** (score CVSS : 8.8) - Injection de commandes du système d'exploitation dans Angeet ES3 KVM entraînant une exécution de commandes arbitraires (Aucune correction disponible) ### Failles de sécurité fondamentales « Il ne s'agit pas de zero-days exotiques nécessitant des mois d'ingénierie inverse », ont noté les chercheurs. « Ce sont des contrôles de sécurité fondamentaux que tout appareil connecté devrait implémenter. Validation des entrées. Authentification. Vérification cryptographique. Limitation de débit. Nous examinons la même classe d'échecs qui a affecté les premiers appareils IoT il y a une décennie, mais maintenant sur une classe d'appareils qui fournit l'équivalent d'un accès physique à tout ce à quoi ils se connectent. » Un adversaire peut exploiter ces problèmes pour injecter des frappes clavier, démarrer à partir d'un support amovible pour contourner le chiffrement du disque ou les protections Secure Boot, contourner les écrans de verrouillage et accéder aux systèmes, et, plus important encore, rester indétecté par les logiciels de sécurité installés au niveau du système d'exploitation. ### Avertissements antérieurs et exploitation nord-coréenne Ce n'est pas la première fois que des vulnérabilités sont divulguées dans les appareils IP KVM. En juillet 2025, le fournisseur russe de cybersécurité **Positive Technologies** [a signalé cinq failles](https://global.ptsecurity.com/en/about/news/vulnerabilities-in-aten-international-switches-patched-with-the-assistance-of-pt-experts/) dans les commutateurs **ATEN International** (**CVE-2025-3710**, **CVE-2025-3711**, **CVE-2025-3712**, **CVE-2025-3713** et **CVE-2025-3714**) qui pourraient entraîner un déni de service ou une exécution de code à distance. De plus, des commutateurs IP KVM comme PiKVM ou TinyPilot [ont été utilisés](https://thehackernews.com/2025/07/us-arrests-key-facilitator-in-north.html) par des travailleurs informatiques nord-coréens résidant dans des pays comme la Chine pour se connecter à distance à des ordinateurs portables d'entreprise hébergés dans des fermes d'ordinateurs portables. ### Stratégies d'atténuation Pour atténuer ces risques, il est recommandé de : * Appliquer l'authentification multi-facteurs (MFA) lorsque cela est pris en charge. * Isoler les appareils KVM sur un VLAN de gestion dédié. * Restreindre l'accès à Internet. * Utiliser des outils comme Shodan pour vérifier l'exposition externe. * Surveiller le trafic réseau inattendu vers/depuis les appareils. * Maintenir le firmware à jour. **Eclypsium** souligne la gravité d'un appareil KVM compromis. « Un KVM compromis n'est pas comme un appareil IoT compromis sur votre réseau. C'est un canal direct et silencieux vers chaque machine qu'il contrôle », ont-ils déclaré. « Un attaquant qui compromet le KVM peut cacher des outils et des backdoors sur l'appareil lui-même, réinfectant constamment les systèmes hôtes même après la remédiation. » « Étant donné que certaines mises à jour du firmware manquent de vérification de signature sur la plupart de ces appareils, un attaquant de la chaîne d'approvisionnement pourrait falsifier le firmware au moment de la distribution et le faire persister indéfiniment. »