Pesquisadores de cibersegurança alertaram sobre os riscos apresentados por dispositivos IP KVM (Keyboard, Video, Mouse over Internet Protocol) de baixo custo, que podem conceder aos atacantes controle extensivo sobre hosts comprometidos. As nove vulnerabilidades, descobertas pela **Eclypsium**, abrangem quatro produtos diferentes da **GL-iNet** Comet RM-1, Angeet/Yeeso ES3 KVM, Sipeed NanoKVM e JetKVM. As mais graves permitem que atores não autenticados obtenham acesso root ou executem código malicioso. "Os temas comuns são condenatórios: falta de validação de assinatura de firmware, nenhuma proteção contra força bruta, controles de acesso quebrados e interfaces de depuração expostas", disseram os pesquisadores Paul Asadoorian e Reynaldo Vasquez Garcia [nesta análise](https://eclypsium.com/blog/your-kvm-is-the-weak-link-how-30-dollar-devices-can-own-your-entire-network/). ### O Risco de Tomada de Controle Remota Dispositivos IP KVM permitem acesso remoto ao teclado, saída de vídeo e entrada do mouse de uma máquina alvo no nível BIOS/UEFI. Explorar vulnerabilidades nesses produtos pode expor sistemas a riscos de tomada de controle, minando os controles de segurança existentes. Aqui está um detalhamento das deficiências identificadas: * **CVE-2026-32290** (pontuação CVSS: 4.2) - Verificação insuficiente de autenticidade do firmware no **GL-iNet** Comet KVM (Correção sendo planejada) * **CVE-2026-32291** (pontuação CVSS: 7.6) - Vulnerabilidade de acesso root Universal Asynchronous Receiver-Transmitter (UART) no **GL-iNet** Comet KVM (Correção sendo planejada) * **CVE-2026-32292** (pontuação CVSS: 5.3) - Vulnerabilidade de proteção insuficiente contra força bruta no **GL-iNet** Comet KVM (Corrigido na versão 1.8.1 BETA) * **CVE-2026-32293** (pontuação CVSS: 3.1) - Provisionamento inicial inseguro via conexão de nuvem não autenticada no **GL-iNet** Comet KVM (Corrigido na versão 1.8.1 BETA) * **CVE-2026-32294** (pontuação CVSS: 6.7) - Verificação insuficiente de atualização no JetKVM (Corrigido na versão 0.5.4) * **CVE-2026-32295** (pontuação CVSS: 7.3) - Limitação de taxa insuficiente no JetKVM (Corrigido na versão 0.5.4) * **CVE-2026-32296** (pontuação CVSS: 5.4) - Exposição de endpoint de configuração no Sipeed NanoKVM (Corrigido na versão 2.3.1 do NanoKVM e versão 1.2.4 do NanoKVM Pro) * **CVE-2026-32297** (pontuação CVSS: 9.8) - Falta de autenticação para uma função crítica no Angeet ES3 KVM levando à execução arbitrária de código (Sem correção disponível) * **CVE-2026-32298** (pontuação CVSS: 8.8) - Vulnerabilidade de injeção de comando do sistema operacional no Angeet ES3 KVM levando à execução arbitrária de comando (Sem correção disponível) ### Falhas Fundamentais de Segurança "Estes não são zero-days exóticos que exigem meses de engenharia reversa", observaram os pesquisadores. "São controles de segurança fundamentais que qualquer dispositivo conectado à rede deveria implementar. Validação de entrada. Autenticação. Verificação criptográfica. Limitação de taxa. Estamos olhando para a mesma classe de falhas que assolaram os primeiros dispositivos IoT uma década atrás, mas agora em uma classe de dispositivo que fornece o equivalente ao acesso físico a tudo o que ela se conecta." Um adversário pode usar essas questões para injetar pressionamentos de tecla, inicializar a partir de mídia removível para contornar a criptografia de disco ou proteções Secure Boot, contornar telas de bloqueio e acessar sistemas e, mais importante, permanecer indetectado por software de segurança instalado no nível do sistema operacional. ### Avisos Prévios e Exploração Norte-Coreana Esta não é a primeira vez que vulnerabilidades são divulgadas em dispositivos IP KVM. Em julho de 2025, a fornecedora russa de cibersegurança **Positive Technologies** [alertou sobre cinco falhas](https://global.ptsecurity.com/en/about/news/vulnerabilities-in-aten-international-switches-patched-with-the-assistance-of-pt-experts/) em switches da **ATEN International** (**CVE-2025-3710**, **CVE-2025-3711**, **CVE-2025-3712**, **CVE-2025-3713** e **CVE-2025-3714**) que poderiam levar a negação de serviço ou execução remota de código. Além disso, switches IP KVM como PiKVM ou TinyPilot [foram usados](https://thehackernews.com/2025/07/us-arrests-key-facilitator-in-north.html) por trabalhadores de TI norte-coreanos residentes em países como a China para se conectar remotamente a laptops corporativos hospedados em fazendas de laptops. ### Estratégias de Mitigação Para mitigar esses riscos, recomenda-se: * Implementar autenticação multifator (MFA) onde suportado. * Isolar dispositivos KVM em uma VLAN de gerenciamento dedicada. * Restringir o acesso à internet. * Usar ferramentas como Shodan para verificar a exposição externa. * Monitorar tráfego de rede inesperado de/para os dispositivos. * Manter o firmware atualizado. A **Eclypsium** enfatiza a gravidade de um dispositivo KVM comprometido. "Um KVM comprometido não é como um dispositivo IoT comprometido em sua rede. É um canal direto e silencioso para todas as máquinas que ele controla", afirmaram. "Um atacante que compromete o KVM pode esconder ferramentas e backdoors no próprio dispositivo, reinfectando consistentemente os sistemas host mesmo após a remediação." "Como algumas atualizações de firmware não possuem verificação de assinatura na maioria desses dispositivos, um atacante da cadeia de suprimentos poderia adulterar o firmware no momento da distribuição e fazê-lo persistir indefinidamente."