Eclypsium hat neun Schwachstellen in günstigen IP-KVM-Geräten offengelegt, die sich auf vier Produkte verteilen: GL-iNet Comet RM-1, Angeet/Yeeso ES3 KVM, Sipeed NanoKVM und JetKVM. Die gravierendsten unter ihnen erlauben es Angreifern ohne vorherige Anmeldung, Root-Zugriff zu erlangen oder Schadcode auszuführen.

Die Forscher Paul Asadoorian und Reynaldo Vasquez Garcia benennen wiederkehrende Mängel über alle untersuchten Geräte hinweg: fehlende Signaturprüfung der Firmware, kein Schutz gegen Brute-Force-Angriffe, defekte Zugriffskontrollen und offen zugängliche Debug-Schnittstellen. Es gehe nicht um exotische Zero-Days, sondern um grundlegende Kontrollen wie Eingabeprüfung, Authentifizierung, kryptografische Verifikation und Ratenbegrenzung, die jedes vernetzte Gerät umsetzen sollte. Es seien dieselben Fehlerklassen, die vor einem Jahrzehnt frühe IoT-Geräte plagten — nun jedoch bei einer Geräteklasse, die das Äquivalent zu physischem Zugang zu allem bietet, was sie anschließt.

Weil IP-KVM-Geräte den Fernzugriff auf Tastatur, Bildausgabe und Mauseingabe einer Zielmaschine bis auf die Ebene von BIOS/UEFI ermöglichen, lassen sich die Lücken weitreichend missbrauchen. Laut Eclypsium kann ein Angreifer Tastatureingaben einschleusen, von Wechseldatenträgern booten, um Festplattenverschlüsselung oder Secure Boot zu umgehen, Sperrbildschirme aushebeln und Systeme erreichen. Besonders kritisch: Solche Aktivitäten bleiben für Sicherheitssoftware auf Betriebssystemebene unsichtbar.

Eclypsium betont den Unterschied zu einem gewöhnlichen kompromittierten IoT-Gerät: Ein übernommenes KVM sei ein direkter, stiller Kanal zu jeder Maschine, die es steuert. Angreifer könnten Werkzeuge und Hintertüren auf dem Gerät selbst verbergen und so Hostsysteme auch nach einer Bereinigung wiederholt neu infizieren. Da auf den meisten dieser Geräte die Signaturprüfung bei Firmware-Updates fehle, könne ein Angreifer in der Lieferkette die Firmware bereits bei der Verteilung manipulieren und sie dauerhaft verankern.

Es ist nicht der erste Fall dieser Art. Der russische Sicherheitsanbieter Positive Technologies meldete im Juli 2025 fünf Schwachstellen in Switches von ATEN International (CVE-2025-3710, CVE-2025-3711, CVE-2025-3712, CVE-2025-3713 und CVE-2025-3714), die Denial-of-Service oder die Ausführung von Schadcode aus der Ferne ermöglichen konnten. Zudem nutzten nordkoreanische IT-Kräfte, die in Ländern wie China ansässig sind, IP-KVM-Switches wie PiKVM oder TinyPilot, um sich aus der Ferne mit firmeneigenen Laptops in sogenannten Laptop-Farmen zu verbinden.

Als Gegenmaßnahmen empfiehlt Eclypsium, wo möglich eine Mehr-Faktor-Authentifizierung (MFA) zu erzwingen, KVM-Geräte in ein eigenes Management-VLAN zu isolieren, den Internetzugang einzuschränken und mit Werkzeugen wie Shodan auf von außen erreichbare Geräte zu prüfen. Ergänzend sollten unerwarteter Netzwerkverkehr zu und von den Geräten überwacht und die Firmware aktuell gehalten werden.