9个关键IP KVM漏洞曝光：攻击者可获得未经身份验证的Root访问权限

2026年3月18日——网络安全研究人员警告称，低成本IP KVM（基于互联网协议的键盘、视频、鼠标）设备存在严重安全风险，可能使攻击者获得对受感染主机的广泛控制权。

漏洞概述

Eclypsium安全公司发现了9个漏洞，影响四个不同厂商的产品：

• GL-iNet Comet RM-1
• Angeet/Yeeso ES3 KVM
• Sipeed NanoKVM
• JetKVM

其中最严重的漏洞允许未经身份验证的攻击者获得root访问权限或运行恶意代码。

共同的安全问题

研究人员Paul Asadoorian和Reynaldo Vasquez Garcia在分析中指出："共同的主题令人震惊：缺少固件签名验证、没有暴力破解保护、访问控制失效，以及暴露的调试接口。"

IP KVM设备的风险

IP KVM设备能够在BIOS/UEFI级别远程访问目标机器的键盘、视频输出和鼠标输入。这意味着：

• 完全控制：攻击者可以在操作系统启动前控制目标系统
• 绕过安全控制：可以绕过操作系统级别的安全措施
• 持久化访问：即使在系统重装后仍可保持访问
• 窃取凭证：可以记录所有键盘输入，包括密码

漏洞详细分析

1. 缺少固件签名验证

设备不验证固件更新的数字签名，攻击者可以推送恶意固件来植入后门。

2. 没有暴力破解保护

登录接口缺乏速率限制，攻击者可以使用暴力破解方法获取访问凭证。

3. 访问控制失效

设备的访问控制机制存在缺陷，可能允许未授权用户访问管理功能。

4. 暴露的调试接口

生产环境中仍然启用的调试接口为攻击者提供了额外的攻击面。

5. 默认凭证问题

许多设备使用默认凭证，用户往往不会更改，使攻击者易于访问。

6. 不安全的通信

部分设备使用未加密的通信协议，敏感数据可能被截获。

7. 命令注入漏洞

Web界面存在命令注入漏洞，允许攻击者执行任意系统命令。

8. 路径遍历漏洞

攻击者可以利用路径遍历漏洞访问系统上的任意文件。

9. 缓冲区溢出

某些设备存在缓冲区溢出漏洞，可能导致远程代码执行。

受影响行业

这些设备被广泛应用于：

• 数据中心：远程管理服务器
• 企业IT：管理分布式基础设施
• 工业控制系统：远程维护关键设备
• 云服务提供商：管理客户服务器

防护建议

为降低IP KVM设备带来的安全风险，建议采取以下措施：

1. 立即更新固件：安装厂商提供的最新安全补丁
2. 更改默认凭证：使用强密码替换默认密码
3. 网络隔离：将IP KVM设备放置在隔离的管理网络中
4. 启用加密：确保所有通信使用TLS/SSL加密
5. 访问控制：限制对IP KVM设备的网络访问
6. 定期审计：审查设备配置和访问日志
7. 固件验证：只安装来自官方渠道的签名固件
8. 监控告警：部署入侵检测系统监控异常活动

行业响应

受影响的厂商已被通知这些漏洞，部分厂商已经发布了安全更新。Eclypsium建议所有使用这些设备的组织立即评估其安全风险并采取适当的缓解措施。

这项研究揭示了IoT和管理设备安全的重要性，即使是看似无害的远程管理工具也可能成为企业安全防线的重大漏洞。