Los investigadores de ciberseguridad han advertido sobre los riesgos que representan los dispositivos IP KVM (protocolo de teclado, vídeo y ratón sobre Internet) de bajo coste, que pueden conceder a los atacantes un amplio control sobre los hosts comprometidos.

Las nueve vulnerabilidades, descubiertas por Eclipsio , abarcan cuatro productos diferentes, desde GL-iNet Comet RM-1, Angeet/Yeeso ES3 KVM, Sipeed nanoKVM y JetKVM. Los más graves permiten a personas no autenticadas acceder como root o ejecutar código malintencionado.

«Los temas comunes son abrumadores: falta de validación de firmas de firmware, falta de protección por fuerza bruta, controles de acceso rotos e interfaces de depuración expuestas», dicen los investigadores Paul Asadoorian y Reynaldo Vasquez Garcia dijo en un análisis.

adsense

Dado que los dispositivos KVM IP permiten el acceso remoto al teclado, la salida de vídeo y la entrada del ratón de la máquina objetivo a nivel BIOS/UEFI, la explotación exitosa de las vulnerabilidades de estos productos puede exponer a los sistemas a posibles riesgos de absorción, lo que socava los controles de seguridad establecidos. La lista de deficiencias es la siguiente:

  • CVE-2026-32290 (Puntuación CVSS: 4.2): verificación insuficiente de la autenticidad del firmware en el KVM GL-iNet Comet (se está planificando una solución)
  • CVE-2026-32291 (Puntuación CVSS: 7,6): una vulnerabilidad de acceso raíz de receptor-transmisor asíncrono universal (UART) en el KVM GL-iNet Comet (se está planificando una solución)
  • CVE-2026-32292 (Puntuación CVSS: 5.3): una vulnerabilidad de protección de fuerza bruta insuficiente en el KVM GL-iNet Comet (corregida en la versión 1.8.1 BETA)
  • CVE-2026-32293 (Puntuación CVSS: 3.1): un aprovisionamiento inicial inseguro debido a una vulnerabilidad de conexión a la nube no autenticada en el KVM GL-iNet Comet (corregido en la versión 1.8.1 BETA)
  • CVE-2026-32294 (Puntuación CVSS: 6.7): una vulnerabilidad de verificación de actualizaciones insuficiente en JetKVM (corregida en la versión 0.5.4)
  • CVE-2026-32295 (Puntuación CVSS: 7.3): una vulnerabilidad de limitación de velocidad insuficiente en JetKVM (corregida en la versión 0.5.4)
  • CVE-2026-32296 (Puntuación CVSS: 5.4): una vulnerabilidad de exposición de puntos finales de configuración en Sipeed nanoKVM (corregida en la versión 2.3.1 de NanoKVM y en la versión 1.2.4 de NanoKVM Pro)
  • CVE-2026-32297 (Puntuación CVSS: 9,8): falta la autenticación debido a una vulnerabilidad de función crítica en el KVM Angeet ES3 que provoca la ejecución de código arbitrario (no hay solución disponible)
  • CVE-2026-32298 (Puntuación CVSS: 8,8): una vulnerabilidad de inyección de comandos del sistema operativo en el KVM Angeet ES3 que provoca la ejecución arbitraria de comandos (no hay solución disponible)

«No se trata de días cero exóticos que requieran meses de ingeniería inversa», anotaron los investigadores. «Se trata de controles de seguridad fundamentales que cualquier dispositivo conectado a la red debe implementar. Validación de entradas. Autenticación. Verificación criptográfica. Limitación de velocidad. Estamos estudiando el mismo tipo de fallos que afectaron a los primeros dispositivos de IoT hace una década, pero ahora en una clase de dispositivos que proporciona el equivalente al acceso físico a todo aquello a lo que se conecta».

Un adversario puede utilizar estos problemas como arma para introducir pulsaciones de teclas, arrancar desde medios extraíbles para eludir el cifrado del disco o las protecciones de arranque seguro, eludir las pantallas de bloqueo y los sistemas de acceso y, lo que es más importante, no ser detectado por el software de seguridad instalado a nivel del sistema operativo.

enlaces

Esta no es la primera vez que se revelan vulnerabilidades en dispositivos KVM IP. En julio de 2025, el proveedor ruso de ciberseguridad Positive Technologies marcó cinco defectos en los conmutadores ATEN International (CVE-2025-3710, CVE-2025-3711, CVE-2025-3712, CVE-2025-3713 y CVE-2025-3714) que podrían allanar el camino para la denegación de servicio o la ejecución remota de código.

Además, conmutadores KVM IP como PikVM o TinyPilot se han utilizado por parte de trabajadores de TI norcoreanos que residen en países como China para conectarse de forma remota a ordenadores portátiles de la empresa alojados en granjas de ordenadores portátiles.

Como medidas paliativas, se recomienda aplicar la autenticación multifactor (MFA) cuando sea posible, aislar los dispositivos KVM en una VLAN de administración dedicada, restringir el acceso a Internet, utilizar herramientas como Shodan para comprobar la exposición externa, supervisar el tráfico de red inesperado hacia/desde los dispositivos y mantener el firmware actualizado.

«Un KVM comprometido no es como un dispositivo de IoT comprometido que se encuentra en su red. Es un canal directo y silencioso para llegar a todas las máquinas que controla», afirma Eclypsium. «Un atacante que ponga en peligro el KVM puede esconder herramientas y puertas traseras en el propio dispositivo y, de este modo, volver a infectar los sistemas host de forma sistemática, incluso después de haber corregido la situación».

«Dado que algunas actualizaciones de firmware carecen de verificación de firmas en la mayoría de estos dispositivos, un atacante de la cadena de suministro podría manipular el firmware en el momento de la distribución y hacer que persista indefinidamente».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.