Connexion
IP KVM : une vulnérabilité importante a corriger très vite
En 2024, je vous présentais un de ces IP KVM avec le JetKVM. Un petit boitier capable de prendre le contrôle d’un PC à distance mais aussi de le réveiller physiquement même sans fonction Wake On Lan. Le tout en Open-source et avec une finition exceptionnelle. J’ai craqué depuis et je l’ai intégré dans mon réseau.
Reste qu’il y a quelque temps des chercheurs en sécurité ont découvert que ces IP KVM, il en existe toute une galaxie, posent un vrai souci de sécurité. Pas moins de neuf vulnérabilités ont été remontées chez quatre fabricants. La plus sévère permettant de prendre un contrôle total de la machine connectée et donc de lancer des opérations comme si l’attaquant en était le propriétaire assis physiquement devant le clavier de la machine.
Un IP KVM de la marque Luckfox
Problème, ces trous béants dans la sécurité de ces appareils ne sont pas nouveaux. Ils sont décrits comme équivalents aux problèmes de sécurité des premiers appareils IoT lancés il y a dix ans. Les marques GL-iNet, Angeet/Yeeso, Sipeed et JetKVM ont donc mis sur le marché des appareils plus que problématiques.
Et cela pourrait être pire qu’annoncé puisque certains constructeurs plus ou moins identifiés en Chine ont commencé à déployer des clones moins documentés de ces appareils Open Source. Certaines références low-cost ont commencé à inonder le marché sous des noms plus ou moins farfelus. Ci-dessus le Luckfox PicoKVM est proposé à moins de 40€ sur AliExpress. Ce n’est pas le pire du marché, il dispose même d’une page de suivi et le firmware a été mis à jour en février. Mais sans aucune note ou quelque information technique que ce soit… Le problème est que des dizaines de clones sont également proposés autour de lui.
| MARQUE | IP KVM | CVE | VulnerabilitE | CVSS 3.1 | STATUT DU Patch |
|---|---|---|---|---|---|
| GL-iNet | Comet RM-1 | CVE-2026-32290 | GL-iNet Comet KVM insufficient verification of firmware authenticity | 4.2 | Fix being planned. |
| GL-iNet | Comet RM-1 | CVE-2026-32291 | GL-INet Comet KVM UART root access | 7.6 | Fix being planned. |
| GL-iNet | Comet RM-1 | CVE-2026-32292 | GL-INet Comet KVM insufficient brute-force protection | 5.3 | Fixed in v1.8.1 BETA |
| GL-iNet | Comet RM-1 | CVE-2026-32293 | GL-iNet Comet KVM Insecure Initial Provisioning via Unauthenticated Cloud Connection | 3.1 | Fixed in v1.8.1 BETA |
| Angeet/Yeeso | ES3 KVM | CVE-2026-32297 | Angeet ES3 KVM unauthenticated file | 9.8 | No fix available |
| Angeet/Yeeso | ES3 KVM | CVE-2026-32298 | Angeet ES3 KVM OS command injection | 8.8 | No fix available |
| Sipeed | NanoKVM | CVE-2026-32296 | Sipeed NanoKVM configuration endpoint exposure | 5.4 | Fixed in NanoKVM v2.3.1 Fixed in NanoKVM Pro 1.2.4 |
| JetKVM | JetKVM | CVE-2026-32294 | JetKVM insufficient update verification | 6.7 | Fixed in version 0.5.4 |
| JetKVM | JetKVM | CVE-2026-32295 | JetKVM insufficient rate limiting | 7.3 | Fixed in version 0.5.4 |
Le Sipeed NanoKVM Pro un autre type d’IP KVM
Comme toujours, ces chercheurs en sécurité ne sont pas là pour poser un problème mais plutôt pour le résoudre. C’est en juin dernier que ces problèmes ont été remontés aux différents acteurs concernés. Le 10 juin 2025 par exemple, l’info a été posée sur le Github de JetKVM. Le 12 juin, le problème était réparé et une mise à jour était alors proposée aux propriétaires de l’appareil. Mais à la mi-mars 2026, ces mêmes chercheurs ont pu constater que plus de 1300 appareils étaient encore concernés et directement accessibles sur internet. Ils n’étaient que 1000 en juin 2025. Non seulement certaines marques n’avaient pas proposé de solutions, mais elles n’avaient pas pris en compte le problème et continuaient de proposer des appareils-passoires à leurs clients.
Le JetKVM
IP KVM = Mise à jour de firmware régulière obligatoire
Arstechnica présente donc cette liste d’appareils compromis et les éventuelles mises à jour proposées pour les différents modèles. Les solutions Angeet/Yeeso, GL-iNet n’ont toujours pas trouvé de solution depuis juin et sont donc dangereuses. Au mieux GL-iNet a proposé une bêta pour certaines vulnérabilités de son Comet RM-1… ce qui est une réponse bien maigre puisque, par défaut, ces appareils ne proposent pas de mises à jour automatiques des firmwares en version non finalisée. Depuis, la marque a proposé un nouveau firmware qui semble corriger le problème, le 20 mars 2026, soit trois jours après la publication de Arstechnica… Comme quoi c’est surtout l’absence de volonté de laisser du temps à ses ingénieurs pour faire ce travail de sécurité obligatoire plutôt qu’un vrai casse-tête technique.
A noter que les solutions IP KVM « maison » sur une base de carte de développement peuvent être tout aussi compromises. Il est donc, là encore, nécessaire de faire un travail de veille et de mise à jour régulier.
Dans tous les cas, si vous utilisez un IP KVM, faites un petit tour sur la page de support du constructeur pour vérifier la présence d’une éventuelle mise à jour depuis la mi-Mars. Et si vous avez le moindre doute, ne fermez pas les yeux et débranchez votre IP KVM de votre réseau. Le risque de perdre toutes vos données, ou pire, est trop grand pour jouer avec le feu. Pour ma part, j’ai une alerte régulière qui me dit de faire un tour pour vérifier la présence de mises à jour de ces appareils critiques.
IP KVM : une vulnérabilité importante a corriger très vite © MiniMachines.net. 2026
