$30 IP-KVM脆弱性がBIOSレベルのエンタープライズネットワーク攻撃を可能にする可能性

最近の脅威研究により、低価格のIP-KVMデバイスに影響を与える深刻なセキュリティ危機が明らかになりました。セキュリティ専門家は4つの人気ベンダー全体で9つの脆弱性を発見し、これらの安価な管理ツールを強力な攻撃プラットフォームに変えています。

単一のKVMデバイスを侵害すると、攻撃者は接続されているすべてのマシンに対して完全な物理レベルの制御を獲得します。

これは、攻撃者がBIOSレベルで直接キーボード、ビデオ、マウスの制御を獲得し、オペレーティングシステムとエンドポイントセキュリティコントロールを完全に回避することを意味します。

$30 IP-KVM脆弱性

Eclypsiumによれば、キーボード、ビデオ、マウス（KVM）スイッチは従来、物理的な存在が必要でしたが、最新のIP-KVMはリモートネットワーク接続を追加しています。

エンタープライズグレードのKVMは数千ドルの費用がかかりますが、$30から$100の価格帯の新しい手頃な価格のデバイスが登場しています。

これらの予算に優しいオプションは、現在エンタープライズデータセンター、医療施設、および産業環境全体に広く展開されています。

残念ながら、この急速な採用には莫大なリスクが伴います。インターネットに直接公開されているこれらの脆弱なデバイスの数は、2025年6月の404から2026年1月までに1,600以上に増加しました。

脅威行為者はこのデバイスクラスを既に悪用しており、悪意のあるグループに関連するリモートワーカーが企業ネットワークに侵入するためにそれらを使用しているという報告があります。

発見された9つの脆弱性は、GL-iNet、Angeet、Sipeed、およびJetKVMのデバイスに影響を与えます。

これらの欠陥は、ファームウェア署名の欠落、公開されたデバッグインターフェース、およびブルートフォースログイン保護の完全な欠如を含む基本的なセキュリティ上の失敗から生じています。

Angeet ES3 KVMには最も深刻な欠陥が含まれており、攻撃者が任意のファイルをデバイスに書き込むことができる認証されていないファイルアップロード脆弱性です。

別のコマンドインジェクションバグと組み合わせられた場合、ハッカーはroot権限で完全なリモートコード実行を達成します。

GL-iNet Comet RM-1は4つの異なる脆弱性に悩まされています。そのファームウェアアップデートメカニズムは、安全な暗号署名ではなく、簡単に操作できるMD5ハッシュのみに依存しており、攻撃者が悪意のあるファームウェアをインストールできます。

さらに、その物理的なシリアルインターフェースは、任意のログイン資格情報を必要とせずに即座にrootシェルを提供します。

JetKVMデバイスは初期段階ではレート制限がなく、攻撃者がブロックされることなく迅速にパスワードを推測することができました。

SipeedのNanoKVMは、ワイヤレス設定エンドポイントを公開し、攻撃者がネットワーク接続をハイジャックできるようにしました。JetKVMとSipeedの両方が、それぞれの脆弱性に対するパッチを正常にリリースしています。

侵害されたKVMはオペレーティングシステムの下で動作するため、従来のアンチウイルスおよびホストファイアウォールソフトウェアに完全に見えなくなります。

攻撃者は悪意のあるキーストロークを挿入してランサムウェアを展開したり、隠れたリムーバブルメディアからシステムをブートしてディスク暗号化をバイパスしたり、コンピューターのスタートアップシーケンスを変更したりできます。

KVMは独自のLinux環境で実行されるため、ハッカーは永続的なバックドアをデバイス自体に直接隠すことができます。

セキュリティチームは緊急にこれらのKVMデバイスを専用の管理ネットワークに分離し、パブリックインターネットに公開しないようにする必要があります。