Switches KVM IP : 9 CVE critiques exposent les serveurs

Des switches KVM IP criblés de vulnérabilités

Les chercheurs Paul Asadoorian et Reynaldo Vasquez Garcia, de la firme de cybersécurité Eclypsium, ont publié le détail de neuf vulnérabilités affectant des switches KVM IP de quatre fabricants. Les scores CVSS s'échelonnent de 3.1 à 9.8, et deux des failles les plus graves n'ont aucun correctif.

Les produits concernés sont le GL-iNet Comet RM-1, l'Angeet ES3 KVM (commercialisé aussi sous la marque Yeeso), le Sipeed NanoKVM et le JetKVM. Ces boîtiers compacts, vendus entre 30 et 100 dollars, servent à administrer des serveurs physiques à distance dans des datacenters, laboratoires et environnements industriels.

Pourquoi un KVM IP compromis change tout

Un KVM IP (Keyboard, Video, Mouse over Internet Protocol) se branche physiquement sur un serveur et transmet l'écran, le clavier et la souris via le réseau. Sa particularité : il opère au niveau matériel, en dessous du système d'exploitation. Un KVM IP compromis donne à l'attaquant un accès de type console physique au serveur, avec la capacité de :

• Interagir avec le BIOS/UEFI avant le démarrage de l'OS
• Injecter des frappes clavier arbitraires
• Démarrer depuis un média USB pour contourner le chiffrement disque ou Secure Boot
• Contourner les écrans de verrouillage
• Dissimuler des backdoors dans le firmware du KVM lui-même
• Rester invisible aux solutions de sécurité installées sur le serveur

Un antivirus, un EDR ou un SIEM qui surveille l'OS ne verra rien. Le KVM opère sur un plan que ces outils ne couvrent pas.

Les neuf CVE en détail

GL-iNet Comet RM-1

CVE-2026-32290 (CVSS 4.2) : le mécanisme de mise à jour firmware ne vérifie pas l'authenticité du paquet téléchargé. Un attaquant en position man-in-the-middle peut substituer un firmware légitime par une version trojanisée. Correctif annoncé, non encore publié.

CVE-2026-32291 (CVSS 7.6) : l'interface UART (Universal Asynchronous Receiver-Transmitter) du boîtier fournit un accès root sans authentification. Toute personne ayant un accès physique au matériel obtient un shell root complet. Le problème est un classique des équipements IoT : des interfaces de débogage laissées actives en production. Correctif annoncé.

CVE-2026-32292 (CVSS 5.3) : aucune protection anti-brute-force sur l'interface d'authentification. Un attaquant peut tester des milliers de combinaisons sans être bloqué ni ralenti. Corrigé dans la version 1.8.1 BETA du firmware.

CVE-2026-32293 (CVSS 3.1) : lors du provisionnement initial, l'appareil établit une connexion au cloud GL-iNet sans vérifier l'identité du serveur distant. Un attaquant en position réseau peut intercepter cette communication et injecter une configuration malveillante. Corrigé en version 1.8.1 BETA.

JetKVM

CVE-2026-32294 (CVSS 6.7) : le processus de mise à jour ne vérifie pas correctement la signature des paquets firmware. Un attaquant capable de rediriger le trafic de mise à jour peut déployer un firmware compromis. Corrigé en version 0.5.4.

CVE-2026-32295 (CVSS 7.3) : absence de rate limiting sur le mécanisme d'authentification, ce qui rend les attaques par force brute triviales. Corrigé en version 0.5.4.

Sipeed NanoKVM

CVE-2026-32296 (CVSS 5.4) : un endpoint de configuration accessible sans authentification expose des paramètres système sensibles. Ces informations facilitent la reconnaissance et la préparation d'attaques ciblées. Corrigé dans NanoKVM 2.3.1 et NanoKVM Pro 1.2.4.

Angeet/Yeeso ES3 KVM

CVE-2026-32297 (CVSS 9.8, critique) : une fonction critique du système est accessible sans aucune authentification, permettant l'exécution de code arbitraire à distance. Score quasi maximal, exploitation triviale, zéro correctif.

CVE-2026-32298 (CVSS 8.8, élevé) : injection de commandes système via l'interface web. Les entrées utilisateur ne sont pas filtrées, ce qui permet d'exécuter des commandes shell arbitraires sur le système sous-jacent. Aucun correctif disponible.

Les deux failles de l'Angeet ES3 concentrent le risque le plus élevé : scores CVSS dans le rouge, exploitation à distance sans prérequis, et un fabricant qui ne propose aucune mise à jour.

Des failles élémentaires, pas des zero-days sophistiqués

Les chercheurs d'Eclypsium ne mâchent pas leurs mots : "Ce ne sont pas des zero-days exotiques nécessitant des mois de rétro-ingénierie. Ce sont des contrôles de sécurité fondamentaux que tout appareil connecté au réseau devrait implémenter."

Le constat est accablant : absence de validation des signatures firmware, aucune protection anti-brute-force, contrôles d'accès défaillants, interfaces de débogage exposées. Ces lacunes révèlent des cycles de développement où la sécurité a été traitée comme un détail.

Le problème n'est pas isolé. En juillet 2025, des vulnérabilités comparables avaient été divulguées dans les switches ATEN International (CVE-2025-3710 à CVE-2025-3714), avec des risques de déni de service et d'exécution de code à distance. Les KVM IP en tant que catégorie de produits semblent reproduire les erreurs que l'industrie des BMC (Baseboard Management Controllers) avait commises il y a dix ans.

Fait troublant rapporté par les chercheurs : des travailleurs IT nord-coréens utilisent des KVM IP comme PiKVM et TinyPilot pour accéder à distance aux laptops fournis par leurs employeurs occidentaux, contournant les contrôles géographiques et de sécurité.

Mesures de remédiation

Pour les administrateurs qui utilisent ces appareils, les priorités sont claires.

Appliquer les correctifs disponibles : GL-iNet Comet RM-1 en version 1.8.1 BETA, JetKVM en version 0.5.4, Sipeed NanoKVM en version 2.3.1 (Pro : 1.2.4). Pour l'Angeet ES3, le remplacement de l'appareil reste la seule option crédible.

Isoler les KVM IP sur un VLAN dédié à l'administration, sans accès internet direct. L'accès distant doit transiter par un VPN (WireGuard, Tailscale) ou un bastion SSH.

Activer le MFA (authentification multifacteur) sur les appareils qui le supportent et imposer des mots de passe robustes.

Auditer l'exposition externe via Shodan ou Censys pour vérifier qu'aucun KVM n'est accessible depuis internet.

Monitorer le trafic réseau du segment de management pour repérer les connexions inhabituelles.

Ces boîtiers gèrent un accès de niveau console physique aux serveurs. Les laisser sans surveillance sur le réseau revient à laisser un terminal root ouvert face à internet.