SchwachstellenIoT-SicherheitHackerangriffe

Neun kritische Sicherheitslücken in IP-KVM-Geräten ermöglichen unbefugten Root-Zugriff

Neun kritische Sicherheitslücken in IP-KVM-Geräten ermöglichen unbefugten Root-Zugriff
Zusammenfassung

Sicherheitsforscher haben neun kritische Schwachstellen in IP-KVM-Geräten (Keyboard, Video, Mouse over Internet Protocol) entdeckt, die es Angreifern ermöglichen, sich ohne Authentifizierung Root-Zugriff auf vernetzte Systeme zu verschaffen. Die Vulnerabilities betreffen Produkte von vier Herstellern – GL-iNet Comet RM-1, Angeet/Yeeso ES3 KVM, Sipeed NanoKVM und JetKVM – und zeichnen sich durch grundlegende Sicherheitsmängel aus: fehlende Firmware-Validierung, mangelnde Brute-Force-Schutzmaßnahmen und exponierte Debug-Schnittstellen. Da IP-KVM-Geräte Fernzugriff auf Tastatur, Bildschirmausgabe und Maus auf BIOS/UEFI-Ebene ermöglichen, können Angreifer durch die Ausnutzung dieser Flaws Systeme vollständig übernehmen und dabei Sicherheitskontrollen umgehen – selbst nach Betriebssystem-Patching. Für deutsche Unternehmen und Behörden stellt dies ein erhebliches Risiko dar, insbesondere wenn diese Geräte in der IT-Infrastruktur zur Verwaltung kritischer Systeme eingesetzt werden. Angreifer könnten unerkannt Malware einschleusen, Verschlüsselung umgehen oder Systeme persistent kompromittieren. Die Forscher warnen, dass es sich nicht um exotische Zero-Days handelt, sondern um fehlende Grundkontrollen, die bereits IoT-Geräte vor zehn Jahren plagten. Zur Risikominderung werden Maßnahmen wie Multi-Faktor-Authentifizierung, Netzwerk-Isolation und regelmäßige Firmware-Updates empfohlen.

Die von der Cybersicherheitsfirma Eclypsium durchgeführte Analyse offenbart ein besorgniserregendes Muster: “Die gemeinsamen Probleme sind verheerend – fehlende Firmware-Signaturvalidierung, kein Brute-Force-Schutz, defekte Zugriffskontrolle und exponierte Debug-Schnittstellen”, erklären die Forscher Paul Asadoorian und Reynaldo Vasquez Garcia.

Das Gefährliche an IP-KVM-Geräten ist ihre Funktionsweise auf BIOS/UEFI-Ebene. Ein kompromittiertes Gerät kann nicht nur Tastatur-, Video- und Mauseingaben kontrollieren, sondern auch das System vor dem eigentlichen Betriebssystem manipulieren. Angreifer könnten Tastenanschläge injizieren, von Removable Media booten, um Festplattenverschlüsselung zu umgehen, oder Sicherheitsfeatures wie Secure Boot deaktivieren – und all das bleibt für Sicherheitssoftware auf Betriebssystem-Ebene unsichtbar.

“Dies sind keine exotischen Zero-Days, die Monate Reverse Engineering erfordern”, betonen die Forscher. “Dies sind fundamentale Sicherheitskontrollen, die jedes vernetzte Gerät implementieren sollte.” Die Forscher vergleichen dies mit den IoT-Sicherheitsproblemen von vor einem Jahrzehnt – nur dass IP-KVM-Geräte deutlich kritischer sind.

Dies ist nicht das erste Mal, dass Sicherheitslücken in IP-KVM-Systemen bekannt werden. Im Juli 2025 warnte der russische Sicherheitsanbieter Positive Technologies vor fünf Sicherheitslücken in ATEN International Switches (CVE-2025-3710 bis CVE-2025-3714), die zu Denial-of-Service oder Remote Code Execution führen könnten. Besonders alarmierend: IP-KVM-Geräte wie PiKVM oder TinyPilot wurden bereits von nordkoreanischen IT-Arbeitern in China eingesetzt, um remote auf Unternehmens-Laptops zuzugreifen.

Zum Schutz empfehlen Experten mehrere Maßnahmen: Multi-Faktor-Authentifizierung (MFA) aktivieren, KVM-Geräte auf einem separaten Management-VLAN isolieren, Internetanbindung einschränken, Tools wie Shodan nutzen, um externe Exposition zu prüfen, und Firmware regelmäßig aktualisieren. Besonders kritisch ist, dass einige Firmware-Updates keine Signaturvalidierung implementieren – ein Supply-Chain-Angreifer könnte die Firmware bei der Distribution manipulieren und dies würde unbegrenzt bestehen bleiben. “Ein kompromittiertes KVM ist nicht wie ein kompromittiertes IoT-Gerät im Netz”, warnt Eclypsium. “Es ist ein direkter, stiller Kanal zu jedem System, das es kontrolliert.”

Ähnliche Artikel