Komoly sebezhetőségek négy gyártó termékeinél
Konkrétabban kilenc különféle biztonsági hibát fedeztek fel négy gyártó IP-KVM-termékeinél. Ezek közül több is lehetővé teszi, hogy illetéktelenek gyökérszintű hozzáférést szerezzenek, vagy rosszindulatú kódot futtassanak az eszközökön. Külön figyelmet érdemel, hogy ezek nem összetett, hónapokig rejtve maradó nulladik napi (zero-day) sebezhetőségek, hanem alapvető hibák, amelyek elkerülhetők lennének megfelelő inputellenőrzéssel, hitelesítéssel vagy titkosított firmware-ellenőrzéssel. E hiányosságok egy évtizeddel ezelőtti IoT-problémákat idéznek, csak most olyan eszközöknél, amelyek fizikai hozzáféréssel érnek fel bármely csatlakoztatott géphez.
Jelenleg csak néhány gyártó foltozta be, illetve tervezi javítani a hibákat, de például az Angeet/Yeeso modelleknél a legsúlyosabb réseket még mindig nem javították. Az érintett modellek között szerepelnek a GL-iNet Comet RM-1, az Angeet/Yeeso ES3 KVM, a Sipeed NanoKVM és a JetKVM különböző változatai.
Hálózati támadások új bástyája
Az IP-KVM-ek sebezhetősége nem kizárólag a szoftveres hibákban rejlik. Gyakran előfordul, hogy ezek az eszközök – akár véletlenül, akár szándékosan – nyitva maradnak az internet felé, így már egyetlen hibás beállítás is elég egy cég teljes hálózatának kompromittálásához. Egy friss internetes keresés több mint 1 300 aktív, internetre csatlakoztatott ilyen eszközt mutatott ki, ráadásul a számuk gyorsan nő.
Különösen nagy a veszély, ha az IP-KVM-eket sikerül feltörni, hiszen innentől nemcsak a saját rendszereik, hanem a csatlakoztatott szerverek is könnyű prédává válnak, még akkor is, ha azokban amúgy erős hálózati védelem működik.
Mit tehetnek a rendszergazdák?
A szakértők szerint minden adminisztrátornak célszerű ellenőriznie a hálózatot, hogy milyen IP-KVM-ek működnek rajta, hiszen sok esetben maguk a rendszergazdák is megfeledkeznek róluk. A hálózati szkenneléshez már elérhetők professzionális eszközök, a feltárt KVM-ek védelmét pedig erős jelszóval és hitelesített VPN-en keresztül ajánlott biztosítani. A WireGuard és a Tailscale különösen egyszerű integrációt kínálnak azoknak, akik komolyan veszik a hálózatbiztonságot.
