把具有 BIOS 级别访问权限的设备直接暴露在公网上？这能出什么事？（讽刺语气）

研究人员最近发出警报：一种单价仅为 30 到 100 美元的廉价设备，正成为内部人员或黑客攻破网络的“超级后门”。

这种设备被称为 IP KVM，体积通常只有扑克牌大小。管理员常用它来远程管理网络中的机器。它最强悍（也最危险）的地方在于：它允许用户在 BIOS/UEFI 级别（即操作系统加载前运行的固件层）直接操作机器。

对于运维来说，这确实方便；但在黑客手里，这简直是拆解安全防护的“手术刀”。一旦这些设备暴露在互联网上，且配置薄弱或固件本身存在缺陷，整个受控机器的安全性将彻底崩盘。

本周二，安全公司 Eclypsium 披露了来自四家厂商（GL-iNet、Angeet/Yeeso、Sipeed、JetKVM）的 IP KVM 设备共计 9 个漏洞。其中最严重的漏洞可以让未授权的黑客直接获取 Root 权限，或在设备上运行恶意代码。

Eclypsium 的研究员 Paul Asadoorian 和 Reynaldo Vasquez Garcia 表示：

“这些漏洞并不是那种需要几个月逆向工程才能发现的高端 0-day。它们全都是最基础的安全控制失效：输入验证缺失、身份验证绕过、加密校验不严、频率限制失效。我们看到的这些低级错误，十年前在早期的物联网（IoT）设备上层出不穷，但现在却出现在一种能提供‘物理级访问权限’的关键设备上。”

厂商产品CVE 编号漏洞描述CVSS 评分修复状态GL-iNetComet RM-1CVE-2026-32290固件真实性校验不足4.2计划修复中GL-iNetComet RM-1CVE-2026-32291UART 串口 Root 访问7.6计划修复中GL-iNetComet RM-1CVE-2026-32292暴力破解防护不足5.3v1.8.1 BETA 已修复GL-iNetComet RM-1CVE-2026-32293云连接初始配置不安全3.1v1.8.1 BETA 已修复Angeet/YeesoES3 KVMCVE-2026-32297未授权文件访问9.8暂无补丁Angeet/YeesoES3 KVMCVE-2026-32298OS 命令注入8.8暂无补丁SipeedNanoKVMCVE-2026-32296配置端点暴露5.4已在 v2.3.1 中修复JetKVMJetKVMCVE-2026-32294更新校验不足6.7已在 v0.5.4 中修复JetKVMJetKVMCVE-2026-32295频率限制不足7.3已在 v0.5.4 中修复

注意： 最严重的 Angeet/Yeeso 漏洞（得分 9.8）目前仍处于“裸奔”状态。

设备漏洞只是冰山一角。更大的威胁在于，这类设备极易被有意或无意地错误部署。安全专家、runZero 创始人 HD Moore 在周一的互联网扫描中发现了 1300 多台 暴露在公网的此类设备，而去年 6 月这个数字只有 1000 左右。

Moore 长期以来一直警告 基板管理控制器 (BMC) 的风险，而 IP KVM 的性质与之非常相似。

“核心问题在于，一旦 KVM 被攻破，黑客就能轻而易举地接管它所连接的任何系统——即使那个系统本身在网络层面防守严密，”Moore 解释道，“就像 BMC 一样，任何**带外管理（Out-of-band）**侧的漏洞都会让现有的安全措施付诸东流。具体 Bug 虽然各异，但结果都一样：黑客拿到了那台你认为‘重要到必须远程管理’的服务器的最高控制权。”

全面清查： 使用扫描工具检查内网中是否隐藏了被遗忘的 IP KVM。

严禁公网暴露： 永远不要把这些设备的管理后台直接映射到公网。

加固访问： 必须设置强密码，并强制通过可靠的 VPN（如 Wireguard 或 Tailscale）进行访问。