法国网络安全团队近期披露,四款广泛使用的IP-KVM(键盘视频鼠标)管理设备存在严重安全缺陷,其中一处漏洞评分高达9.8/10(CVSS标准)。这些设备包括GL-iNet Comet RM-1、JetKVM、Sipeed NanoKVM和Angeet ES3,漏洞类型涵盖认证缺失、操作系统命令注入以及通过UART端口直接获取root权限等。由于KVM设备通常部署在服务器机柜中,长期无人维护,成为攻击者理想的隐蔽入口。
IP-KVM设备允许管理员通过网络远程控制服务器的键盘、鼠标和屏幕,仿佛亲临现场。这类设备价格通常在50至200欧元之间,在法国及欧洲中小企业中普及率极高,常用于家庭实验室或小型数据中心。然而,其架构设计存在致命缺陷:KVM设备运行在操作系统底层,不受传统杀毒软件或终端检测响应(EDR)系统监控。一旦设备被攻破,攻击者可直接注入键盘指令、从USB启动绕过磁盘加密、跳过登录界面,甚至在固件中植入后门,从而完全控制所有受管服务器。
研究人员指出,此类攻击并非理论风险。2025年,已有案例显示朝鲜黑客利用类似设备(如PiKVM和TinyPilot)远程控制美国企业笔记本电脑,形成“笔记本农场”攻击链。更令人担忧的是,部分设备固件缺乏签名验证机制,攻击者可随意替换固件而无需授权。此外,TP-Link Tapo C200等IoT摄像头也因固件中硬编码HTTPS密钥而面临类似风险,凸显嵌入式设备安全设计的普遍短板。
厂商补丁响应参差不齐:JetKVM已发布v0.5.4版本修复部分漏洞,Sipeed更新至v2.3.1,GL-iNet承诺在v1.8.1 Beta版中解决,但Angeet ES3作为漏洞最严重的设备(含9.8和8.8分漏洞),至今未提供任何补丁。这种碎片化的修复进度迫使企业必须采取紧急缓解措施,包括将设备隔离至专用管理VLAN、切断互联网访问、启用多因素认证,并避免设备暴露于公网。
法国作为欧洲网络安全教育重镇,拥有如Guardia CS等专业机构,致力于培养从基础开发到**攻防的网络安全人才。该国在IoT设备安全标准制定方面亦走在前列,但中小企业对低成本KVM设备的过度依赖仍构成显著风险。企业需重新评估所有“隐形”管理设备的可信度,将其视为关键基础设施而非普通外设。
国内企业应引以为戒,在部署任何带外管理设备时,必须强制实施网络隔离与固件完整性校验,避免将安全防线建立在不可信硬件之上。技术便利不应以牺牲系统底层安全为代价,唯有将管理设备纳入统一安全监控体系,方能真正筑牢数字防线。