Исследователи предупреждают о серьёзных рисках, связанных с недорогими устройствами, которые могут предоставить хакерам и инсайдерам широкие возможности для атак на корпоративные сети.

Речь идёт об устройствах IP KVM (Keyboard, Video, Mouse), которые стоят от 30 до 100 долларов. Их часто используют администраторы для удалённого доступа к серверам и компьютерам. Эти компактные устройства, размером чуть больше колоды карт, позволяют подключаться к машинам на уровне BIOS/UEFI — встроенного программного обеспечения, запускающегося до операционной системы.

Такая функциональность удобна для технической поддержки, но становится опасной, если устройство попадает в чужие руки. Особенно уязвимы модели, подключённые к интернету с ненадёжными настройками безопасности. Инсайдеры могут подключить их тайно, а уязвимости прошивки открывают путь для удалённого захвата.

Проблемы на уровне базовой безопасности

На этой неделе специалисты компании Eclypsium обнаружили девять уязвимостей в IP KVM-устройствах четырёх производителей. Самые критические из них позволяют неаутентифицированным злоумышленникам получить полный контроль — вплоть до root-доступа и выполнения произвольного кода.

«Это не экзотические нулевые дни, требующие месяцев реверс-инжиниринга. Это фундаментальные меры безопасности, которые должно реализовывать любое сетевое устройство: проверка входных данных, аутентификация, криптографическая проверка, ограничение скорости. Мы наблюдаем тот же класс сбоев, которые преследовали ранние устройства интернета вещей (IoT) десять лет назад. Но теперь это класс устройств, дающих эквивалент физического доступа ко всему, к чему они подключены».

Такие уязвимости ставят под угрозу всю сеть, поскольку IP KVM фактически имитирует присутствие человека у компьютера — с клавиатурой, мышью и монитором. Даже при защищённой операционной системе злоумышленник может изменить настройки загрузки, установить вредоносное ПО или получить доступ к данным до запуска ОС.

Researchers are warning about the risks posed by a low-cost device that can give insiders and hackers unusually broad powers in compromising networks.

The devices, which typically sell for $30 to $100, are known as IP KVMs. Administrators often use them to remotely access machines on networks. The devices, not much bigger than a deck of cards, allow the machines to be accessed at the BIOS/UEFI level, the firmware that runs before the loading of the operating system.

This provides power and convenience to admins, but in the wrong hands, the capabilities can often torpedo what might otherwise be a secure network. Risks are posed when the devices—which are exposed to the Internet—are deployed with weak security configurations or surreptitiously connected to by insiders. Firmware vulnerabilities also leave them open to remote takeover.

No exotic zero-days here

On Tuesday, researchers from security firm Eclypsiumdiscloseda total of nine vulnerabilities in IP KVMs from four manufacturers. The most severe flaws allow unauthenticated hackers to gain root access or run malicious code on them.

“These are not exotic zero-days requiring months of reverse engineering,” Eclypsium researchers Paul Asadoorian and Reynaldo Vasquez Garcia wrote. “These are fundamental security controls that any networked device should implement. Input validation. Authentication. Cryptographic verification. Rate limiting. We are looking at the same class of failures that plagued early IoT devices a decade ago, but now on a device class that provides the equivalent of physical access to everything it connects to.”