Failles de sécurité : quand un simple KVM à 50€ devient le maillon faible de votre réseau
Vous utilisez un boîtier KVM pour accéder facilement à distance à votre machine ? Sachez qu’une équipe de chercheurs vient d’identifier un ensemble de 9 failles de sécurité dans les appareils de 4 marques différentes, dont GL-iNet et JetKVM. Voici ce qu’il faut savoir.
Des vulnérabilités réelles, mais évitables ?
Les commutateurs KVM (Keyboard, Video, Mouse) sur IP sont des boîtiers redoutablement efficaces et appréciés par la communauté IT, y compris pour les homelabers. Ces petits boîtiers, bien souvent bon marché (entre 30 et 110 euros) conçus par des fabricants comme GL-iNet, Angeet/Yeeso, Sipeed et JetKVM sont omniprésents dans les baies informatiques.
Le problème : ils contiennent des vulnérabilités. Dans le pire des cas, un attaquant distant non authentifié peut obtenir un accès root ou exécuter du code malveillant sur le serveur auquel est connecté le boîtier KVM. Si vous utilisez un boîtier vulnérable et qu’il est exposé sur Internet, il est temps d’agir…
Ce travail de recherche a été mené par Paul Asadoorian et Reynaldo Vasquez Garcia de chez Eclypsium. Il a permis d’identifier au total 9 vulnérabilités affectant les firmwares des quatre constructeurs cités précédemment. Surtout, la lecture du rapport des chercheurs permet de comprendre que ce sont des failles de sécurité “basiques”, qui ne devraient pas se trouver dans ce type d’appareils.
“Ce ne sont pas des zero-days exotiques nécessitant des mois de rétro-ingénierie. Ce sont des contrôles de sécurité fondamentaux que tout appareil en réseau devrait mettre en œuvre. Validation des entrées. Authentification. Vérification cryptographique. Limitation de débit. Nous sommes face à la même catégorie de défaillances qui tourmentaient les premiers appareils IoT il y a dix ans, mais aujourd’hui sur une catégorie d’appareils qui offre l’équivalent d’un accès physique à tout ce à quoi ils se connectent.” – Des mots forts.
Voici d’ailleurs la liste des vulnérabilités, avec à chaque fois le statut concernant le correctif. Il s’agit d’un récapitulatif mis à disposition par les chercheurs.
| Produit | CVE | Vulnérabilité | CVSS 3.1 | Statut du correctif |
| GL-iNet Comet RM-1 | CVE-2026-32290 | KVM GL-iNet Comet : vérification insuffisante de l’authenticité du firmware | 4.2 | Correctif en cours de planification. |
| GL-iNet Comet RM-1 | CVE-2026-32291 | KVM GL-iNet Comet : accès root via UART | 7.6 | Correctif en cours de planification. |
| GL-iNet Comet RM-1 | CVE-2026-32292 | KVM GL-iNet Comet : protection insuffisante contre le brute force | 5.3 | Corrigé dans la v1.8.1 BETA |
| GL-iNet Comet RM-1 | CVE-2026-32293 | KVM GL-iNet Comet : provisionnement initial non sécurisé via une connexion Cloud sans authentification | 3.1 | Corrigé dans la v1.8.1 BETA |
| Angeet/Yeeso ES3 KVM | CVE-2026-32297 | KVM Angeet ES3 : accès aux fichiers sans authentification | 9.8 | Aucun correctif disponible |
| Angeet/Yeeso ES3 KVM | CVE-2026-32298 | KVM Angeet ES3 : injection de commandes OS | 8.8 | Aucun correctif disponible |
| Sipeed NanoKVM | CVE-2026-32296 | Sipeed NanoKVM : exposition de l’endpoint de configuration | 5.4 | Corrigé dans NanoKVM v2.3.1 et NanoKVM Pro 1.2.4 |
| JetKVM JetKVM | CVE-2026-32294 | JetKVM : vérification insuffisante des mises à jour | 6.7 | Corrigé dans la version 0.5.4 |
| JetKVM JetKVM | CVE-2026-32295 | JetKVM : limitation de débit (rate limiting) insuffisante | 7.3 | Corrigé dans la version 0.5.4 |
Il y a un fabricant qui est particulièrement impacté : les KVM ES3 de la marque Angeet/Yeeso. Il y a en effet deux failles de sécurité critiques, dont une qui permet à un attaquant un accès aux fichiers sans authentification. À ce jour, il n’y a pas de correctif.
Des KVM exposés directement sur Internet
Au-delà de ces vulnérabilités, il y a un autre problème : certains utilisateurs exposent leurs boîtiers KVM directement sur Internet. Cela forme donc une sorte de cocktail explosif si les attaquants décidaient de s’intéresser de près à ces failles de sécurité.
HD Moore, PDG de runZero, a révélé avoir identifié plus de 1 300 KVM directement exposés sur Internet lors d’un récent scan. Le nombre serait sûrement plus important si l’on tenait compte des interfaces iDrac, iLO, etc…. qui sont probablement exposées (à tort) sur Internet.
Vous avez beau avoir le meilleur pare-feu du monde, si votre petit KVM à 50 balles est piraté, c’est votre infrastructure dans son intégralité qui est en péril. A bon entendeur.