{"id":288,"date":"2026-03-18T14:12:57","date_gmt":"2026-03-18T14:12:57","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/18\/nueve-fallas-criticas-de-kvm-ip-permiten-acceso-raiz-no-autenticado-a-traves-de-cuatro-proveedores-cyberdefensa-mx\/"},"modified":"2026-03-18T14:12:57","modified_gmt":"2026-03-18T14:12:57","slug":"nueve-fallas-criticas-de-kvm-ip-permiten-acceso-raiz-no-autenticado-a-traves-de-cuatro-proveedores-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/18\/nueve-fallas-criticas-de-kvm-ip-permiten-acceso-raiz-no-autenticado-a-traves-de-cuatro-proveedores-cyberdefensa-mx\/","title":{"rendered":"Nueve fallas cr\u00edticas de KVM IP permiten acceso ra\u00edz no autenticado a trav\u00e9s de cuatro proveedores \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"<div id=\"articlebody\">\n<p>Los investigadores de ciberseguridad han advertido sobre los riesgos que plantean los dispositivos IP KVM (teclado, v\u00eddeo, rat\u00f3n sobre protocolo de Internet) de bajo coste, que pueden otorgar a los atacantes un amplio control sobre los hosts comprometidos.<\/p>\n<p>Las nueve vulnerabilidades, descubiertas por <b>eclipsio<\/b>abarcan cuatro productos diferentes: GL-iNet Comet RM-1, Angeet\/Yeeso ES3 KVM, Sipeed NanoKVM y JetKVM. Los m\u00e1s graves permiten que actores no autenticados obtengan acceso de root o ejecuten c\u00f3digo malicioso.<\/p>\n<p>\u00abLos temas comunes son condenatorios: falta de validaci\u00f3n de firma de firmware, falta de protecci\u00f3n de fuerza bruta, controles de acceso rotos e interfaces de depuraci\u00f3n expuestas\u00bb, investigadores Paul Asadoorian y Reynaldo Vasquez Garc\u00eda. <a href=\"https:\/\/eclypsium.com\/blog\/your-kvm-is-the-weak-link-how-30-dollar-devices-can-own-your-entire-network\/\" rel=\"noopener\" target=\"_blank\">dicho<\/a> en un an\u00e1lisis.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/not-fast-enough-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEhlXM830ruQd2xT6M7JNeNRjaFa1onD12WjSCHihTFMTzbyfT9h-irPmXy_h3E1HGSs6sdv7FTmnyNVTM5kmSb7BuUtZe8gKoTQt99P1sSzRcqqXpOJP6eoAOhR3DGb6qHx9kOZ_HBZUMmVnsnd0DM7QfUp81bgzTvvgLww6oqB-EhnDfWXH5pWCYhAsyLs\/s728-e100\/tl-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>Dado que los dispositivos IP KVM permiten el acceso remoto al teclado, la salida de video y la entrada del mouse de la m\u00e1quina de destino a nivel BIOS\/UEFI, la explotaci\u00f3n exitosa de las vulnerabilidades en estos productos puede exponer los sistemas a posibles riesgos de adquisici\u00f3n, socavando los controles de seguridad implementados. La lista de deficiencias es la siguiente:<\/p>\n<ul>\n<li><strong><a href=\"https:\/\/www.cve.org\/CVERecord?id=CVE-2026-32290\" rel=\"noopener\" target=\"_blank\">CVE-2026-32290<\/a><\/strong>  (Puntuaci\u00f3n CVSS: 4,2) \u2013 Una verificaci\u00f3n insuficiente de la autenticidad del firmware en GL-iNet Comet KVM (se est\u00e1 planificando una soluci\u00f3n)<\/li>\n<li><strong><a href=\"https:\/\/www.cve.org\/CVERecord?id=CVE-2026-32291\" rel=\"noopener\" target=\"_blank\">CVE-2026-32291<\/a><\/strong>  (Puntuaci\u00f3n CVSS: 7,6) \u2013 Una vulnerabilidad de acceso ra\u00edz al receptor-transmisor as\u00edncrono universal (UART) en GL-iNet Comet KVM (se est\u00e1 planificando una soluci\u00f3n)<\/li>\n<li><strong><a href=\"https:\/\/www.cve.org\/CVERecord?id=CVE-2026-32292\" rel=\"noopener\" target=\"_blank\">CVE-2026-32292<\/a><\/strong>  (Puntuaci\u00f3n CVSS: 5,3) \u2013 Una vulnerabilidad de protecci\u00f3n de fuerza bruta insuficiente en GL-iNet Comet KVM (corregido en la versi\u00f3n 1.8.1 BETA)<\/li>\n<li><strong><a href=\"https:\/\/www.cve.org\/CVERecord?id=CVE-2026-32293\" rel=\"noopener\" target=\"_blank\">CVE-2026-32293<\/a><\/strong>  (Puntuaci\u00f3n CVSS: 3.1) \u2013 Un aprovisionamiento inicial inseguro a trav\u00e9s de una vulnerabilidad de conexi\u00f3n a la nube no autenticada en GL-iNet Comet KVM (corregido en la versi\u00f3n 1.8.1 BETA)<\/li>\n<li><strong><a href=\"https:\/\/www.cve.org\/CVERecord?id=CVE-2026-32294\" rel=\"noopener\" target=\"_blank\">CVE-2026-32294<\/a><\/strong>  (Puntuaci\u00f3n CVSS: 6.7) \u2013 Una vulnerabilidad de verificaci\u00f3n de actualizaci\u00f3n insuficiente en JetKVM (corregido en la versi\u00f3n 0.5.4)<\/li>\n<li><strong><a href=\"https:\/\/www.cve.org\/CVERecord?id=CVE-2026-32295\" rel=\"noopener\" target=\"_blank\">CVE-2026-32295<\/a><\/strong>  (Puntuaci\u00f3n CVSS: 7.3) \u2013 Una vulnerabilidad de limitaci\u00f3n de velocidad insuficiente en JetKVM (corregido en la versi\u00f3n 0.5.4)<\/li>\n<li><strong><a href=\"https:\/\/www.cve.org\/CVERecord?id=CVE-2026-32296\" rel=\"noopener\" target=\"_blank\">CVE-2026-32296<\/a><\/strong>  (Puntuaci\u00f3n CVSS: 5.4) \u2013 Una vulnerabilidad de exposici\u00f3n del punto final de configuraci\u00f3n en Sipeed NanoKVM (corregido en NanoKVM versi\u00f3n 2.3.1 y NanoKVM Pro versi\u00f3n 1.2.4)<\/li>\n<li><strong><a href=\"https:\/\/www.cve.org\/CVERecord?id=CVE-2026-32297\" rel=\"noopener\" target=\"_blank\">CVE-2026-32297<\/a><\/strong>  (Puntuaci\u00f3n CVSS: 9,8) \u2013 Autenticaci\u00f3n faltante para una vulnerabilidad de funci\u00f3n cr\u00edtica en Angeet ES3 KVM que conduce a la ejecuci\u00f3n de c\u00f3digo arbitrario (no hay soluci\u00f3n disponible)<\/li>\n<li><strong><a href=\"https:\/\/www.cve.org\/CVERecord?id=CVE-2026-32298\" rel=\"noopener\" target=\"_blank\">CVE-2026-32298<\/a><\/strong>  (Puntuaci\u00f3n CVSS: 8,8) \u2013 Una vulnerabilidad de inyecci\u00f3n de comandos del sistema operativo en Angeet ES3 KVM que conduce a la ejecuci\u00f3n de comandos arbitrarios (no hay soluci\u00f3n disponible)<\/li>\n<\/ul>\n<p>\u00abEstos no son d\u00edas cero ex\u00f3ticos que requieren meses de ingenier\u00eda inversa\u00bb, se\u00f1alaron los investigadores. \u00abEstos son controles de seguridad fundamentales que cualquier dispositivo en red debe implementar. Validaci\u00f3n de entrada. Autenticaci\u00f3n. Verificaci\u00f3n criptogr\u00e1fica. Limitaci\u00f3n de velocidad. Estamos viendo la misma clase de fallas que afectaron a los primeros dispositivos IoT hace una d\u00e9cada, pero ahora en una clase de dispositivo que proporciona el equivalente de acceso f\u00edsico a todo lo que se conecta\u00bb.<\/p>\n<p>Un adversario puede utilizar estos problemas como arma para inyectar pulsaciones de teclas, arrancar desde medios extra\u00edbles para evitar el cifrado del disco o las protecciones de arranque seguro, eludir las pantallas de bloqueo y los sistemas de acceso y, lo que es m\u00e1s importante, permanecer sin ser detectado por el software de seguridad instalado en el nivel del sistema operativo.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/fs-report-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjWQgUDT06NQu9vGMPC7BWROmJABTIWg058l7oGKD-v3ZchC8_66xjbclOE9koChsRf5CEKgqrXTVrne_00PdGokh3brhvF-g33I4FYYpTukrvuNQWXZOVAfon6-2axyRoVJ4uOrXPqRhxfZUaJWEm-K9esUS3ql8VSVWAKLqyfhHLgMSXhkMTkcOtGSX7R\/s728-e100\/fs-report-d.png\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>Esta no es la primera vez que se revelan vulnerabilidades en dispositivos IP KVM. En julio de 2025, el proveedor ruso de ciberseguridad Positive Technologies <a href=\"https:\/\/global.ptsecurity.com\/en\/about\/news\/vulnerabilities-in-aten-international-switches-patched-with-the-assistance-of-pt-experts\/\" rel=\"noopener\" target=\"_blank\">se\u00f1al\u00f3 cinco defectos<\/a> en conmutadores ATEN International (CVE-2025-3710, CVE-2025-3711, CVE-2025-3712, CVE-2025-3713 y CVE-2025-3714) que podr\u00edan allanar el camino para la denegaci\u00f3n de servicio o la ejecuci\u00f3n remota de c\u00f3digo.<\/p>\n<p>Es m\u00e1s, los trabajadores de TI norcoreanos que residen en pa\u00edses como China han utilizado conmutadores KVM IP como PiKVM o TinyPilot para conectarse de forma remota a computadoras port\u00e1tiles proporcionadas por la empresa alojadas en granjas de computadoras port\u00e1tiles.<\/p>\n<p>Como mitigaciones, se recomienda aplicar la autenticaci\u00f3n multifactor (MFA) cuando sea compatible, aislar los dispositivos KVM en una VLAN de administraci\u00f3n dedicada, restringir el acceso a Internet, usar herramientas como Shodan para verificar la exposici\u00f3n externa, monitorear el tr\u00e1fico de red inesperado hacia\/desde los dispositivos y mantener el firmware actualizado.<\/p>\n<p>\u00abUn KVM comprometido no es como un dispositivo IoT comprometido ubicado en su red. Es un canal directo y silencioso hacia cada m\u00e1quina que controla\u00bb, dijo Eclypsium. \u00abUn atacante que compromete el KVM puede ocultar herramientas y puertas traseras en el propio dispositivo, reinfectando constantemente los sistemas host incluso despu\u00e9s de la reparaci\u00f3n\u00bb.<\/p>\n<p>\u00abDado que algunas actualizaciones de firmware carecen de verificaci\u00f3n de firma en la mayor\u00eda de estos dispositivos, un atacante de la cadena de suministro podr\u00eda alterar el firmware en el momento de la distribuci\u00f3n y hacer que persista indefinidamente\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Los investigadores de ciberseguridad han advertido sobre los riesgos que plantean los dispositivos IP KVM (teclado, v\u00eddeo, rat\u00f3n sobre protocolo de Internet) de bajo coste, que pueden otorgar a los atacantes un amplio control sobre los hosts comprometidos. Las nueve vulnerabilidades, descubiertas por eclipsioabarcan cuatro productos diferentes: GL-iNet Comet RM-1, Angeet\/Yeeso ES3 KVM, Sipeed NanoKVM [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":108,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[68,993,1011,102,24,103,1012,856,765,743,860,76],"class_list":["post-288","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-acceso","tag-autenticado","tag-criticas","tag-cuatro","tag-cyberdefensa-mx","tag-fallas","tag-kvm","tag-nueve","tag-permiten","tag-proveedores","tag-raiz","tag-traves"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/288","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=288"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/288\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/108"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=288"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=288"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=288"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}