漏洞概述
近期安全评估揭示,四款市面上主流的低价位IP-KVM设备中,存在九个高危安全漏洞。这些由Eclypsium公司披露的漏洞,能让攻击者获得对连接系统的完整BIOS级控制权限,完全绕过操作系统层面的安全机制,包括各种终端检测与响应(EDR)工具。
攻击影响
本质上,入侵一台键盘、视频和鼠标(KVM)切换器,就等于让攻击者拿到了物理接触每一台连接机器的权限。攻击者能够利用这种权限做什么呢?他们可以注入击键操作、从可移动存储介质启动以绕过磁盘加密,甚至修改BIOS设置来禁用安全启动等关键功能。
由于KVM设备运行在主机操作系统之下,其所有攻击行为对于基于主机的安全防护软件而言是完全不可见的。这使其成为一种隐蔽性极高、持久性极强的威胁载体。
更值得注意的是,这种威胁已经从理论走向了实践。根据相关报告,美国联邦调查局(FBI)近期已调查了涉及KVM设备的攻击事件。微软公司也记录到,由朝鲜支持的黑客组织曾利用IP-KVM设备,远程建立对企业笔记本电脑的物理控制。最新的互联网扫描数据显示,目前仍有超过1600台此类廉价设备直接暴露在公网上,为攻击者提供了广阔的攻击面。
受影响设备
此次涉及的漏洞影响GL-iNet、Angeet/Yeeso、Sipeed和JetKVM等品牌的设备,这些产品售价通常在30至100美元之间。漏洞的根本原因在于设备普遍缺乏基础的安全防护措施,例如固件签名验证缺失、调试接口未做保护、访问控制机制失效等。
其中,Angeet ES3 KVM设备存在的漏洞最为严重。其“未授权文件上传”漏洞(CVE-2026-32297,CVSS 9.8)结合“操作系统命令注入”漏洞(CVE-2026-32298,CVSS 8.8),可让攻击者在无需任何认证的情况下,远程以root权限执行任意代码。
而GL-iNet Comet RM-1设备则存在一个更“物理”的入口:其UART调试接口直接提供了未授权的root访问权限。同时,该设备仅依靠易于伪造的MD5哈希值来验证固件完整性,这为固件篡改攻击打开了方便之门。这些案例都深刻地提醒我们,在构建企业网络/系统时,任何一环的薄弱都可能成为突破口。
缓解措施
鉴于上述风险,企业必须将IP-KVM设备视为关键基础设施的一部分进行严格防护。以下是一些关键的缓解措施:
- 立即网络隔离:将所有KVM设备置于专用的管理VLAN中,严禁将其管理界面直接暴露在互联网上。
- 实施强访问控制:对KVM设备的访问必须通过VPN网关,并实施多因素认证等强身份验证手段。
- 全面资产清查:在企业环境中进行彻底排查,识别并登记所有在用的、包括未经审批部署的KVM设备。
- 加强流量监控:密切监控来自管理网段的异常出站流量,这可能是设备已被攻陷的迹象。
- 及时更新固件:关注设备厂商发布的安全/渗透/逆向公告,并及时安装最新的固件补丁。
参考来源:
$30 IP-KVM Flaws Could Give Attackers BIOS-Level Control Across Enterprise Networks
https://cybersecuritynews.com/30-ip-kvm-flaws-enterprise-networks/
对于企业IT和运维 & 测试团队而言,硬件层面的安全正变得越来越不容忽视。如果你对这类底层硬件安全话题感兴趣,或在实际工作中遇到了类似挑战,欢迎到云栈社区的相关板块与大家交流探讨。 | 
发表于 2 小时前
|
查看: 3|
回复: 0
