Оказалось уязвимым и может представлять серьёзную угрозу
Рассмотрим пример такого устройства — NanoKVM, которое оказалось уязвимым и может представлять серьёзную угрозу для безопасности сетей.
NanoKVM — это компактная плата на RISC-V, вышедшая на рынок в прошлом году как бюджетная альтернатива другим подобным устройствам. Она умеет захватывать HDMI-видео, эмулировать USB-клавиатуру и мышь, управлять питанием и давать браузерный доступ к подключённому ПК. Для админов и энтузиастов это удобный способ «держать за шнурок» сервер или домашний сервер с момента включения — от BIOS и до установки операционной системы, без установки какого-либо ПО на саму целевую машину.
Однако, как выяснилось, NanoKVM имеет ряд уязвимостей, которые могут быть использованы злоумышленниками. В феврале словенский исследователь информационной безопасности опубликовал разбор китайского устройства удалённого управления NanoKVM, из которого выяснилось: дешёвый KVM-комплект за €30–60 поставлялся с целым набором уязвимостей и скрытым микрофоном, который можно было удалённо включать по SSH.
Проблемы безопасности NanoKVM
По словам исследователя, проблемы безопасности начинаются буквально с момента загрузки устройства. Ранние партии NanoKVM приходили с заданным по умолчанию паролем и открытым доступом по SSH. Об этом он сообщил Sipeed, и позже компания эти настройки изменила. Однако веб-интерфейс до сих пор остаётся минимально защищённым: в нём нет защиты от CSRF-атак и механизма принудительного сброса активных сессий — выйти из личного кабинета «по-настоящему» нельзя.
Отдельная история — обращение с паролями. Ключ шифрования, которым NanoKVM защищает логины в браузере, оказался жёстко зашит в прошивку и одинаков на всех устройствах. То есть, получив этот ключ, злоумышленник потенциально может расшифровать пароли с любого NanoKVM.
Сетевое поведение платы тоже вызвало вопросы. По умолчанию устройство отправляло DNS-запросы через серверы в Китае и регулярно связывалось с инфраструктурой Sipeed за обновлениями и закрытым бинарным компонентом. Ключ проверки этого компонента лежал на устройстве в открытом виде, а целостность загружаемой прошивки вообще никак не проверялась. Это создаёт удобную точку для атак на цепочку поставок — как со стороны производителя, так и при компрометации его серверов.
Меры по обеспечению безопасности при использовании NanoKVM
Спасает ситуацию то, что NanoKVM формально позиционируется как open source-платформа. Сообщество быстро подключилось и начало переносить на устройство альтернативные дистрибутивы Linux — сначала Debian, затем Ubuntu. Для перепрошивки нужно разобрать корпус и записать новый образ на внутреннюю microSD-карту, но первые сборки уже умеют работать с модифицированным KVM-кодом Sipeed. Физически удалить микрофон тоже возможно, хотя из-за его размеров и расположения это довольно ювелирная операция без увеличительного стекла.
По данным исследователя, за прошедшие месяцы Sipeed устранил значительную часть найденных уязвимостей. Тем не менее многие в сообществе сходятся во мнении, что полагаться исключительно на заводскую прошивку не стоит.
Рекомендация
Если вы всё-таки используете NanoKVM, имеет смысл перепрошить его на кастомный Linux и жёстко ограничить доступ к устройству. Пока же эти платы чаще рассматривают как игрушку для homelab-экспериментов, а не как инструмент для ответственных корпоративных сетей.
Заключение
NanoKVM — это пример того, как даже небольшие и кажущиеся безобидными устройства могут представлять серьёзную угрозу для безопасности. Будьте бдительны и не забывайте о мерах предосторожности при работе с технологиями.
Подписывайтесь на наш канал, чтобы получать больше полезной информации о кибербезопасности.
FAQ
Вопрос: Какие основные уязвимости NanoKVM?
Ответ: NanoKVM имеет ряд уязвимостей, включая заданный по умолчанию пароль, открытый доступ по SSH, отсутствие защиты от CSRF-атак и механизма принудительного сброса активных сессий, а также жёстко зашитый в прошивку ключ шифрования.
———
Вопрос: Как обезопасить себя при использовании NanoKVM?
Ответ: Рекомендуется перепрошить NanoKVM на кастомный Linux и жёстко ограничить доступ к устройству. Также важно следить за обновлениями и настройками безопасности.
———
Вопрос: Можно ли удалить микрофон с NanoKVM?
Ответ: Физически удалить микрофон с NanoKVM возможно, хотя из-за его размеров и расположения это довольно ювелирная операция без увеличительного стекла.
———
Вопрос: Стоит ли использовать NanoKVM в корпоративных сетях?
Ответ: Пока NanoKVM чаще рассматривают как игрушку для homelab-экспериментов, а не как инструмент для ответственных корпоративных сетей. Рекомендуется проявлять осторожность при использовании подобных устройств в корпоративных средах.
══════
Для российских предприятий и бизнеса в СНГ важно уделять особое внимание кибербезопасности и защите данных. В условиях современных киберугроз необходимо принимать комплексные меры по обеспечению безопасности сетей и систем.
══════
Больше материалов: Центр знаний SecureDefence.
Оставьте заявку на бесплатную консультацию: [Перейти на сайт]