حذر باحثون في مجال الأمن السيبراني من المخاطر التي تشكلها أجهزة KVM عبر بروتوكول الإنترنت منخفضة التكلفة، والتي يمكن أن تمنح المهاجمين سيطرة واسعة على الأنظمة المخترقة. تتضمن هذه الثغرات نقاط ضعف في الأجهزة الشائعة المستخدمة للوصول عن بعد.
اكتشف الباحثون تسع ثغرات أمنية في أربعة منتجات مختلفة، تتضمن GL-iNet Comet RM-1، وAngeet/Yeeso ES3 KVM، وSipeed NanoKVM، وJetKVM. تسمح أخطر هذه الثغرات للمهاجمين غير المصرح لهم بالوصول كـ “روت” (Root) أو تشغيل تعليمات برمجية خبيثة.
تمثلت نقاط الضعف المشتركة في عمليات التحقق غير الكافية من توقيع البرامج الثابتة (Firmware)، وغياب آليات الحماية ضد هجمات القوة الغاشمة، وضعف ضوابط الوصول، وتعرض واجهات التصحيح (Debug Interfaces).
ثغرات أمنية خطيرة في أجهزة KVM عبر بروتوكول الإنترنت
تتيح أجهزة KVM عبر بروتوكول الإنترنت، والتي تُعرف اختصاراً بـ IP KVM، إمكانية الوصول عن بعد إلى لوحة المفاتيح وشاشة العرض والماوس للجهاز المستهدف على مستوى BIOS/UEFI. بالتالي، فإن استغلال الثغرات في هذه الأجهزة يمكن أن يعرض الأنظمة لخطر الاختراق الكامل، مما يقوض ضوابط الأمان المطبقة.
نقاط الضعف المكتشفة وتأثيراتها
CVE-2026-32290 (درجة CVSS: 4.2): تحقق غير كافٍ من صحة البرنامج الثابت في GL-iNet Comet KVM.
CVE-2026-32291 (درجة CVSS: 7.6): ثغرة وصول كـ “روت” عبر UART في GL-iNet Comet KVM.
CVE-2026-32292 (درجة CVSS: 5.3): ضعف الحماية ضد هجمات القوة الغاشمة في GL-iNet Comet KVM (تم الإصلاح في الإصدار 1.8.1 BETA).
CVE-2026-32293 (درجة CVSS: 3.1): توفير أولي غير آمن عبر اتصال سحابي غير مصادق عليه في GL-iNet Comet KVM (تم الإصلاح في الإصدار 1.8.1 BETA).
CVE-2026-32294 (درجة CVSS: 6.7): تحقق غير كافٍ من التحديثات في JetKVM (تم الإصلاح في الإصدار 0.5.4).
CVE-2026-32295 (درجة CVSS: 7.3): ضعف تحديد المعدل (Rate Limiting) في JetKVM (تم الإصلاح في الإصدار 0.5.4).
CVE-2026-32296 (درجة CVSS: 5.4): تعرض نقطة نهاية التكوين في Sipeed NanoKVM (تم الإصلاح في NanoKVM الإصدار 2.3.1 و NanoKVM Pro الإصدار 1.2.4).
CVE-2026-32297 (درجة CVSS: 9.8): افتقار للمصادقة لوظيفة حرجة في Angeet ES3 KVM، مما يؤدي إلى تنفيذ تعليمات برمجية عشوائية (لا يوجد إصلاح متاح).
CVE-2026-32298 (درجة CVSS: 8.8): حقن أوامر نظام تشغيل في Angeet ES3 KVM، مما يؤدي إلى تنفيذ أوامر عشوائية (لا يوجد إصلاح متاح).
وأشار الباحثون إلى أن هذه الثغرات ليست معقدة وتتطلب جهوداً كبيرة لاكتشافها، بل إنها تمثل فشلاً في تطبيق ضوابط أمان أساسية يجب أن تتضمنها أي أجهزة متصلة بالشبكة، مثل التحقق من المدخلات، والمصادقة، والتحقق التشفيري، وتحديد المعدل. وتشبه هذه الأخطاء فئة الإخفاقات التي عانت منها أجهزة إنترنت الأشياء (IoT) في بداياتها قبل عقد من الزمان، ولكنها الآن تطال أجهزة توفر وصولاً فعلياً شاملاً.
يمكن للمهاجمين استغلال هذه المشاكل لحقن ضغطات مفاتيح، أو الإقلاع من وسائط قابلة للإزالة لتجاوز تشفير القرص الصلب أو حماية التمهيد الآمن، أو التحايل على شاشات القفل والوصول إلى الأنظمة. والأهم من ذلك، يمكنهم البقاء غير مكتشفين بواسطة برامج الأمان المثبتة على مستوى نظام التشغيل.
تاريخ مشابه وتقنيات استغلال
لم تكن هذه المرة الأولى التي يتم فيها الكشف عن ثغرات في أجهزة KVM عبر بروتوكول الإنترنت. ففي يوليو 2025، اكتشفت شركة Positive Technologies الروسية خمس ثغرات في مفاتيح ATEN International يمكن أن تؤدي إلى رفض الخدمة أو تنفيذ تعليمات برمجية عن بعد.
علاوة على ذلك، تم استخدام مفاتيح KVM عبر بروتوكول الإنترنت المشابهة، مثل PiKVM أو TinyPilot، من قبل عمال تكنولوجيا المعلومات الكوريين الشماليين المقيمين في دول مثل الصين للاتصال عن بعد بأجهزة الكمبيوتر المحمولة التي تصدرها الشركات والمستضافة في مزارع الخوادم.
كتدابير وقائية، يوصى بفرض المصادقة متعددة العوامل (MFA) حيثما كان ذلك مدعوماً، وعزل أجهزة KVM على شبكة VLAN مخصصة للإدارة، وتقييد الوصول إلى الإنترنت، واستخدام أدوات مثل Shodan للتحقق من التعرض الخارجي، ومراقبة حركة مرور الشبكة غير المتوقعة من وإلى الأجهزة، والحفاظ على تحديث البرامج الثابتة.
وأكدت Eclypsium أن جهاز KVM المخترق يمثل قناة مباشرة وصامتة لكل جهاز يتحكم به، على عكس جهاز إنترنت الأشياء. يمكن للمهاجم الذي يخترق KVM إخفاء الأدوات والأبواب الخلفية على الجهاز نفسه، مما يؤدي إلى إعادة إصابة الأنظمة المضيفة باستمرار حتى بعد عمليات الإصلاح. ونظراً لأن بعض تحديثات البرامج الثابتة تفتقر إلى التحقق من التوقيع في معظم هذه الأجهزة، يمكن لمهاجم سلسلة التوريد التلاعب بالبرنامج الثابت وقت التوزيع، مما يضمن استمراره بشكل دائم.