B
Ars Technica 15일 전
4개사 IP KVM 기기 취약점 발견
중요도
핵심 요약
보안 업체 Eclypsium은 관리자가 원격으로 서버에 접속할 때 사용하는 저렴한 IP KVM 기기 4개 제품군에서 총 9개의 취약점을 발견했습니다. 공격자가 이를 악용하면 인증 없이 시스템 제어 권한을 획득하고, OS가 로딩되기 전 레벨(BIOS/UEFI)에서 네트워크를 통째로 장악할 수 있어 기업 보안에 큰 위협이 됩니다.
번역된 본문
연구원들이 내부자나 해커가 네트워크를 침해하는 데 비정상적으로 광범위한 권한을 부여할 수 있는 저렴한 기기의 위험성에 대해 경고하고 있습니다. 보통 30달러에서 100달러에 판매되는 이러한 기기를 'IP KVM'이라고 합니다. 관리자는 이를 사용해 네트워크 상의 장비에 원격으로 액세스하는 경우가 많습니다. 카드 한 벌보다 크지 않은 이 장비는 운영 체제가 로딩되기 전에 실행되는 펌웨어인 BIOS/UEFI 수준에서 장비에 접근할 수 있게 해줍니다. 이는 관리자에게 강력한 권한과 편의성을 제공하지만, 악의적인 사람의 손에 들어가면 그 능력으로 인해 그렇지 않았으면 안전했을 네트워크를 파괴할 수 있습니다. 이러한 위험은 인터넷에 노출된 기기가 취약한 보안 설정으로 배포되거나 내부자가 몰래 연결할 때 발생합니다. 펌웨어 취약점으로 인해 원격 탈취에 노출되기도 합니다.
특별한 제로데이(Zero-day)는 아닙니다
화요일, 보안 업체 Eclypsium의 연구진은 4개 제조사의 IP KVM에서 총 9개의 취약점을 공개했습니다. 가장 심각한 결함은 인증되지 않은 해커가 루트(Root) 접근 권한을 얻거나 악성 코드를 실행할 수 있게 합니다. Eclypsium의 연구원인 폴 아사도리안(Paul Asadoorian)과 레이날도 바스케즈 가르시아(Reynaldo Vasquez Garcia)는 “이것은 수개월의 리버스 엔지니어링이 필요한 이국적인 제로데이가 아닙니다. 이는 네트워크에 연결된 모든 기기가 구현해야 하는 기본적인 보안 제어입니다. 입력 검증, 인증, 암호화 확인, 속도 제한(Rate limiting) 등입니다. 우리는 10년 전 초기 IoT 기기를 괴롭혔던 것과 같은 종류의 실패를 보고 있지만, 지금은 연결된 모든 것에 대한 물리적 액세스와 동등한 기능을 제공하는 기기 클래스에서 발생하고 있습니다.”라고 말했습니다.
[표: 제조사, 제품, CVE, 취약점, CVSS 3.1, 패치 상태]
- GL-iNet Comet RM-1: 펌웨어 인증 불충분 (CVE-2026-32290, CVSS 4.2) - 패치 준비 중
- GL-iNet Comet RM-1: UART 루트 접근 (CVE-2026-32291, CVSS 7.6) - 패치 준비 중
- GL-iNet Comet RM-1: 무차별 대입(Brute-force) 방지 부족 (CVE-2026-32292, CVSS 5.3) - v1.8.1 BETA에서 수정
- GL-iNet Comet RM-1: 인증되지 않은 클라우드 연결을 통한 안전하지 않은 초기 프로비저닝 (CVE-2026-32293, CVSS 3.1) - v1.8.1 BETA에서 수정
- Angeet/Yeeso ES3 KVM: 인증되지 않은 파일 (CVE-2026-32297, CVSS 9.8) - 수정 조치 없음
- Angeet/Yeeso ES3 KVM: OS 명령어 삽입 (CVE-2026-32298, CVSS 8.8) - 수정 조치 없음
- Sipeed NanoKVM: 구성 엔드포인트 노출 (CVE-2026-32296, CVSS 5.4) - NanoKVM v2.3.1 및 NanoKVM Pro 1.2.4에서 수정
- JetKVM: 업데이트 검증 불충분 (CVE-2026-32294, CVSS 6.7) - 버전 0.5.4에서 수정
- JetKVM: 속도 제한 불충분 (CVE-2026-32295, CVSS 7.3) - 버전 0.5.4에서 수정
위 표에서 볼 수 있듯이 일부 기기는 수정되고 있습니다. 하지만 화요일 현재, Angeet/Yeeso에서 만든 IP KVM에서 발견된 가장 심각한 취약점은 패치되지 않은 상태입니다. 기기 취약점은 이러한 기기가 초래하는 위험의 한 유형일 뿐입니다. 전체 네트워크를 취약하게 만드는 방식으로 의도적 또는 실수로 배포하기 쉽기 때문에 위협이 발생하기도 합니다.
보안 전문가이자 runZero의 설립자이자 CEO인 HD 무어(HD Moore)는 월요일 인터넷 스캔을 수행했으며, 지난 6월 약 1,000대에서 조금 늘어난 1,300대 이상의 이러한 기기를 발견했습니다. 무어는 오랫동안 관리자가 서버 전체에 원격으로 액세스할 수 있도록 해주는 마더보드 내장 마이크로컨트롤러인 BMC(베이스보드 관리 컨트롤러)가 초래하는 위험에 대해 경고해 왔습니다. 그는 IP KVM도 마찬가지로 네트워크를 노출시킬 수 있다고 말했습니다.
무어는 인터뷰에서 “핵심 문제는 KVM이 손상되면 다른 네트워크 공격으로부터는 안전한 시스템이라 하더라도 KVM이 연결된 시스템을 장악하기 쉽다는 것입니다. BMC와 마찬가지로 대역 외(Out-of-band) 측면의 결함은 기존 보안 조치를 무력화시킵니다. 구체적인 버그는 다르지만, 최종 결과는 누군가가 KVM을 붙일 가치가 있다고 생각할 만큼 중요한 서버에 접근하게 된다는 것입니다.”라고 말했습니다.
원문 보기 (영어)
Text settings Story text Size Small Standard Large Width * Standard Wide Links Standard Orange * Subscribers only Learn more Minimize to nav Researchers are warning about the risks posed by a low-cost device that can give insiders and hackers unusually broad powers in compromising networks. The devices, which typically sell for $30 to $100, are known as IP KVMs. Administrators often use them to remotely access machines on networks. The devices, not much bigger than a deck of cards, allow the machines to be accessed at the BIOS/UEFI level, the firmware that runs before the loading of the operating system. This provides power and convenience to admins, but in the wrong hands, the capabilities can often torpedo what might otherwise be a secure network. Risks are posed when the devices—which are exposed to the Internet—are deployed with weak security configurations or surreptitiously connected to by insiders. Firmware vulnerabilities also leave them open to remote takeover. No exotic zero-days here On Tuesday, researchers from security firm Eclypsium disclosed a total of nine vulnerabilities in IP KVMs from four manufacturers. The most severe flaws allow unauthenticated hackers to gain root access or run malicious code on them. “These are not exotic zero-days requiring months of reverse engineering,” Eclypsium researchers Paul Asadoorian and Reynaldo Vasquez Garcia wrote. “These are fundamental security controls that any networked device should implement. Input validation. Authentication. Cryptographic verification. Rate limiting. We are looking at the same class of failures that plagued early IoT devices a decade ago, but now on a device class that provides the equivalent of physical access to everything it connects to.” Vendor Product CVE Vulnerability CVSS 3.1 Patch Status GL-iNet Comet RM-1 CVE-2026-32290 GL-iNet Comet KVM insufficient verification of firmware authenticity 4.2 Fix being planned. GL-iNet Comet RM-1 CVE-2026-32291 GL-INet Comet KVM UART root access 7.6 Fix being planned. GL-iNet Comet RM-1 CVE-2026-32292 GL-INet Comet KVM insufficient brute-force protection 5.3 Fixed in v1.8.1 BETA GL-iNet Comet RM-1 CVE-2026-32293 GL-iNet Comet KVM Insecure Initial Provisioning via Unauthenticated Cloud Connection 3.1 Fixed in v1.8.1 BETA Angeet/Yeeso ES3 KVM CVE-2026-32297 Angeet ES3 KVM unauthenticated file 9.8 No fix available Angeet/Yeeso ES3 KVM CVE-2026-32298 Angeet ES3 KVM OS command injection 8.8 No fix available Sipeed NanoKVM CVE-2026-32296 Sipeed NanoKVM configuration endpoint exposure 5.4 Fixed in NanoKVM v2.3.1 and NanoKVM Pro 1.2.4 JetKVM JetKVM CVE-2026-32294 JetKVM insufficient update verification 6.7 Fixed in version 0.5.4 JetKVM JetKVM CVE-2026-32295 JetKVM insufficient rate limiting 7.3 Fixed in version 0.5.4 As the table above shows, some of the devices are being fixed. As of Tuesday, however, the most severe vulnerabilities—found in IP KVMs made by Angeet/Yeeso—aren’t. Device vulnerabilities are only one type of risk posed by such devices. Threats are also posed because it’s easy to intentionally or unintentionally deploy them in ways that leave an entire network vulnerable. HD Moore, a security expert and the founder and CEO of runZero, performed an Internet scan on Monday that found a little more than 1,300 such devices, up from about 1,000 he found last June . Moore has long warned about the risks posed by baseboard management controllers (BMCs), the motherboard-attached microcontrollers that allow admins to remotely access entire fleets of servers. He said IP KVMs can similarly expose networks. “The core issue is that if the KVM is compromised, it’s often easy to take over whatever system the KVM is attached to, even if that system is otherwise secure from network attacks,” Moore said in an interview. “Similar to BMCs, any flaw on the out-of-band side undercuts the existing security measures. The specific bugs vary, but the end result is access to a server that someone thinks is important enough to warrant remote management.” Both runZero and Eclypsium recommend admins scan their networks to identify any overlooked IP KVMs. Asadoorian has made scanning tools available here . Both say that the devices should be secured with a strong password and the use of a reputable VPN. Both Wireguard and Tailscale provide easy integration. Dan Goodin Senior Security Editor Dan Goodin Senior Security Editor Dan Goodin is Senior Security Editor at Ars Technica, where he oversees coverage of malware, computer espionage, botnets, hardware hacking, encryption, and passwords. In his spare time, he enjoys gardening, cooking, and following the independent music scene. Dan is based in San Francisco. Follow him at here on Mastodon and here on Bluesky. Contact him on Signal at DanArs.82. 28 Comments