Boîtiers KVM IP – Les 9 failles qui vous offrent un accès root OKLM
Les boîtiers KVM IP, c’est le genre de matos qu’on branche dans un rack et qu’on oublie dans un coin pendant des années. Hé bien va falloir vous souvenir de où vous les avez mis les copains parce que des chercheurs d’Eclypsium viennent de retourner de fond en comble 4 modèles populaires… et c’est pas joli joli. A l’intérieur il y on trouvé pas moins de 9 failles, dont une qui score à 9.8 sur 10 en gravité CVSS. Autant dire qu’on n’est plus dans le “petit bug rigolo oh oh” qui fait marrer votre admin sys.
Pour ceux qui débarquent, ces petits appareils dont l’acronyme veut dire “Kernel-based Virtual Machine”, permettent de contrôler un serveur à distance via le réseau, clavier, souris et écran compris, comme si vous étiez physiquement devant la machine. Hyper pratique donc pour gérer un homelab ou une salle serveur, et ça coûte entre 50 et 200 euros sur Amazon. Du coup, y’en a partout !!!
Les chercheurs Paul Asadoorian et Reynaldo Vasquez Garcia ont passé au crible le GL-iNet Comet RM-1, le JetKVM, le Sipeed NanoKVM et l’Angeet ES3 et ça fait mal : authentification manquante sur des fonctions critiques, injection de commandes OS, ports UART qui filent un accès root direct, et des firmwares qu’on peut remplacer sans aucune vérification de signature. En gros, c’est la fête du slip côté sécu !
Le truc vraiment relou avec ce type d’appareils, c’est qu’en fait ils opèrent en dessous de votre OS. Pas d’antivirus, pas d’EDR, rien ne les voit. Un attaquant qui compromet votre switch de contrôle distant peut alors injecter des frappes clavier, booter depuis une clé USB (bye bye le chiffrement de disque et le Secure Boot), contourner l’écran de verrouillage, et planquer une backdoor directement dans le firmware du boîtier. Tout ça sans que votre machine ne bronche car un KVM compromis, c’est pas un stupide gadget IoT de plus sur votre réseau… Là je vous parle vraiment d’un accès direct et silencieux à toutes les machines qu’il contrôle.
Et c’est pas juste théorique puisqu’en 2025, des travailleurs nord-coréens infiltrés dans des boîtes américaines utilisaient des PiKVM et TinyPilot pour contrôler à distance les laptops d’entreprise depuis des “laptop farms”. Voilà le genre de scénario qu’on rend possible quand le firmware n’a même pas de signature. C’est un peu comme
ces caméras IoT bourrées de failles
sur lesquelles un chercheur faisait tourner DOOM… sauf qu’ici, l’attaquant prend le contrôle de vos serveurs, pas d’un flux vidéo.
Et histoire de parfaire le tableau, côté correctifs c’est la jungle intégral !! JetKVM a patché en v0.5.4, Sipeed en v2.3.1, GL-iNet promet un fix en v1.8.1 beta et pour l’Angeet ES3, qui cumule les 2 failles les plus sévères (scores 9.8 et 8.8), y’a aucun correctif prévu. Oupsy oups…
Donc si vous avez un de ces boîtiers qui traîne, voilà ce qu’il faut faire. D’abord isolez-le sur un VLAN de management dédié (jamais sur le réseau principal), coupez-lui l’accès Internet, activez le MFA si c’est supporté, et vérifiez que votre appareil n’est pas
exposé publiquement
via un scan de votre IP. Mettez également le firmware à jour, sauf si c’est un Angeet… là, franchement, faut débrancher.
Bref, si vous avez un de ces machins dans votre rack, traitez-le comme un point d’accès critique… parce que c’en est un !
Leave a Comment