Vulnerabilidades críticas en dispositivos IP KVM exponen a riesgos severos
Publicado el
Riesgos asociados a dispositivos IP KVM
Investigadores en ciberseguridad han advertido sobre los riesgos que presentan los dispositivos IP KVM (Keyboard, Video, Mouse over Internet Protocol) de bajo coste, los cuales pueden otorgar a los atacantes un control amplio sobre los sistemas comprometidos. Las nueve vulnerabilidades identificadas por Eclypsium afectan a productos de cuatro fabricantes: GL-iNet Comet RM-1, Angeet/Yeeso ES3 KVM, Sipeed NanoKVM y JetKVM. Las más graves permiten a actores no autenticados obtener acceso root o ejecutar código malicioso.
Los investigadores Paul Asadoorian y Reynaldo Vasquez Garcia señalaron que los problemas comunes incluyen la falta de validación de firmas de firmware, ausencia de protección contra ataques de fuerza bruta, controles de acceso rotos y interfaces de depuración expuestas. Esto es especialmente preocupante dado que los dispositivos IP KVM permiten el acceso remoto al teclado, la salida de vídeo y la entrada del ratón a nivel BIOS/UEFI.
Detalle de las vulnerabilidades
Las vulnerabilidades encontradas son las siguientes:
- CVE-2026-32290 (Puntuación CVSS: 4.2): Falta de verificación de autenticidad del firmware en GL-iNet Comet KVM (se está planeando una solución). - CVE-2026-32291 (Puntuación CVSS: 7.6): Vulnerabilidad de acceso root a través de UART en GL-iNet Comet KVM (se está planeando una solución). - CVE-2026-32292 (Puntuación CVSS: 5.3): Protección insuficiente contra ataques de fuerza bruta en GL-iNet Comet KVM (solucionado en la versión 1.8.1 BETA). - CVE-2026-32293 (Puntuación CVSS: 3.1): Provisión inicial insegura a través de conexión en la nube no autenticada en GL-iNet Comet KVM (solucionado en la versión 1.8.1 BETA). - CVE-2026-32294 (Puntuación CVSS: 6.7): Verificación de actualizaciones insuficiente en JetKVM (solucionado en la versión 0.5.4). - CVE-2026-32295 (Puntuación CVSS: 7.3): Protección insuficiente contra limitaciones de tasa en JetKVM (solucionado en la versión 0.5.4). - CVE-2026-32296 (Puntuación CVSS: 5.4): Exposición de un endpoint de configuración en Sipeed NanoKVM (solucionado en la versión 2.3.1 y NanoKVM Pro 1.2.4). - CVE-2026-32297 (Puntuación CVSS: 9.8): Falta de autenticación para una función crítica en Angeet ES3 KVM, lo que lleva a la ejecución de código arbitrario (sin solución disponible). - CVE-2026-32298 (Puntuación CVSS: 8.8): Inyección de comandos del sistema operativo en Angeet ES3 KVM, que conduce a la ejecución arbitraria de comandos (sin solución disponible).
Implicaciones de seguridad
Los investigadores subrayan que estas vulnerabilidades no son fallos de seguridad exóticos que requieran meses de ingeniería inversa. Se trata de controles de seguridad fundamentales que cualquier dispositivo conectado debe implementar, como la validación de entradas, autenticación, verificación criptográfica y limitación de tasas. Los problemas detectados son similares a los que afectaron a los primeros dispositivos IoT hace una década, pero en esta ocasión en dispositivos que ofrecen acceso físico a todo lo que conectan.
Un atacante podría aprovechar estas vulnerabilidades para inyectar pulsaciones de teclas, arrancar desde medios extraíbles, eludir la encriptación de disco o las protecciones de Secure Boot, eludir pantallas de bloqueo y acceder a los sistemas, permaneciendo además indetectado por el software de seguridad instalado a nivel de sistema operativo.
No es la primera vez que se divulgan vulnerabilidades en dispositivos IP KVM. En julio de 2025, Positive Technologies identificó cinco fallos en los conmutadores de ATEN International que podrían permitir la denegación de servicio o la ejecución remota de código. Además, dispositivos como PiKVM o TinyPilot han sido utilizados por trabajadores de TI norcoreanos para conectarse de manera remota a portátiles en granjas de computadoras.
Recomendaciones
Como medidas de mitigación, se aconseja implementar la autenticación multifactor (MFA) donde sea posible, aislar los dispositivos KVM en una VLAN de gestión dedicada, restringir el acceso a Internet, utilizar herramientas como Shodan para verificar la exposición externa, monitorizar el tráfico inesperado hacia y desde los dispositivos, y mantener el firmware actualizado.
Eclypsium advierte que "un KVM comprometido no es lo mismo que un dispositivo IoT comprometido en la red; es un canal directo y silencioso hacia cada máquina que controla". Un atacante que compromete el KVM puede ocultar herramientas y puertas traseras en el propio dispositivo, reinfectando de forma constante los sistemas host incluso tras una remediación. La falta de verificación de firmas en las actualizaciones de firmware en muchos de estos dispositivos permite que un atacante en la cadena de suministro pueda manipular el firmware en el momento de la distribución, asegurando su persistencia indefinida.