Nove vulnerabilità critiche in quattro dispositivi KVM over IP che costano meno di trenta dollari. Accesso root senza autenticazione. Controllo a livello BIOS — invisibile a qualsiasi antivirus o EDR installato sul server. E 1.611 di questi aggeggi esposti direttamente su internet, pronti per essere compromessi da chiunque sappia digitare una query su Shodan. Se ti sembra lo scenario di un film catastrofico, sappi che è tutto nero su bianco nel rapporto pubblicato da Eclypsium a marzo 2026, e riguarda dispositivi installati in data center, ospedali, impianti industriali e infrastrutture critiche di mezzo mondo. Non importa quanto sofisticato sia il tuo firewall o quanto hai speso in endpoint detection: se l’attaccante entra dal KVM, è come se avesse le chiavi del caveau e fosse già dentro la banca.
Il problema vero non è la singola falla, per quanto devastante. Il problema è che questo copione si ripete identico dal 2016 — dall’anno della botnet Mirai, quando centinaia di migliaia di telecamere e router trasformati in zombie misero in ginocchio mezza internet — e nessuno ha fatto niente di strutturale per impedire che succedesse di nuovo. La sicurezza IoT nelle infrastrutture critiche resta un ossimoro, una contraddizione in termini che il mercato non ha alcun interesse a risolvere perché risolvere costa, e i costi erodono i margini. Il Rapporto Clusit 2026 lo conferma: 507 incidenti gravi in Italia nel solo 2025, con un aumento del 42% rispetto all’anno precedente e un’impennata del 135% negli attacchi alle infrastrutture di trasporto. La sicurezza industriale è un concetto che esiste nei convegni e nei PDF, molto meno nelle sale server e negli impianti. Viviamo circondati da dispositivi connessi che nessuno ha progettato per essere sicuri, inseriti in reti che nessuno segmenta come dovrebbe, gestiti da organizzazioni che non hanno budget per la cybersicurezza perché il consiglio di amministrazione preferisce investire altrove. Quello che segue non è allarmismo. È la cronaca di un fallimento sistemico che riguarda direttamente te — e chi come te si chiede perché la tecnologia sembra sempre più fragile proprio mentre diventa sempre più pervasiva.
Trenta dollari per controllare un server: anatomia delle falle KVM
Un dispositivo KVM over IP fa una cosa semplice ma potentissima: ti permette di controllare tastiera, video e mouse di un server remoto come se fossi fisicamente davanti alla macchina. È l’equivalente digitale di sedersi nella sala server e mettere le mani sulla console. I data center li usano per la gestione remota, gli ambienti industriali li installano per controllare le interfacce uomo-macchina (HMI) in zone pericolose dove mandare un tecnico è complicato o rischioso. Il punto che devi capire è questo: stiamo parlando di dispositivi che operano a un livello più basso del sistema operativo — BIOS e firmware — dove nessun software di sicurezza riesce nemmeno a guardare. Se qualcuno compromette il tuo KVM, può fare qualsiasi cosa al server collegato: installare rootkit nel firmware, modificare la sequenza di boot, intercettare ogni singolo tasto che premi. E tu non te ne accorgi, perché il tuo endpoint detection non ha la minima idea che esista qualcosa sotto il sistema operativo. In ambito industriale questi dispositivi controllano spesso i pannelli SCADA che gestiscono processi fisici reali — valvole, turbine, linee di produzione. Compromettere un KVM in quel contesto non significa solo rubare dati: significa mettere le mani sul quadro di controllo dell’impianto.
I ricercatori di Eclypsium — Paul Asadoorian e Reynaldo Vasquez Garcia — hanno analizzato quattro dispositivi KVM over IP tra i più economici sul mercato: il GL-iNet Comet RM-1, l’Angeet/Yeeso ES3, il Sipeed NanoKVM e il JetKVM. Dispositivi che costano tra i 30 e i 100 dollari, che puoi comprare su Amazon con due clic e che finiscono installati ovunque — dal piccolo data center al laboratorio industriale. Hanno trovato nove vulnerabilità, e i temi comuni fanno accapponare la pelle: nessuna validazione della firma del firmware, zero protezione contro attacchi brute-force, controlli di accesso rotti, interfacce di debug esposte su rete. Non parliamo di bug sofisticati che richiedono mesi di reverse engineering per essere scoperti. Parliamo di porte lasciate spalancate, lucchetti mai installati, allarmi mai collegati. La falla più grave — CVE-2026-32297, con un punteggio CVSS di 9,8 su 10 — colpisce l’Angeet/Yeeso ES3 ed è di una banalità che lascia senza parole: il binario di gestione chiamato Databridge espone un endpoint di upload sulla porta 8888 senza alcuna autenticazione. Chiunque abbia accesso di rete può caricare file arbitrari sul dispositivo, sovrascrivendo binari di sistema o file di configurazione. Combinata con un secondo bug di command injection a livello di sistema operativo (CVE-2026-32298, CVSS 8,8), la catena di exploit dà accesso root completo senza bisogno di credenziali. Pre-autenticazione. Da remoto. Su un dispositivo che controlla fisicamente il tuo server.
Gli altri dispositivi non se la cavano molto meglio. Il GL-iNet Comet ha quattro vulnerabilità: firmware senza validazione crittografica (CVE-2026-32290), accesso root via interfaccia UART (CVE-2026-32291), protezione brute-force inesistente (CVE-2026-32292), e setup iniziale tramite connessione cloud non autenticata (CVE-2026-32293). Il JetKVM accetta tentativi di login illimitati senza alcun rallentamento o blocco — un invito a nozze per qualsiasi script di brute-force (CVE-2026-32295). Il Sipeed NanoKVM espone le API di configurazione WiFi senza autenticazione, permettendo a un attaccante di disconnettere il dispositivo dalla rete o dirottarne la connessione (CVE-2026-32296). Ma il dato che davvero dovrebbe farti ribollire il sangue è la risposta dei produttori. JetKVM e Sipeed hanno rilasciato patch per tutte le vulnerabilità — onore al merito. GL-iNet ha dichiarato che non ha in programma di correggere la mancanza di firma del firmware né l’autenticazione UART. E Angeet/Yeeso — il produttore del dispositivo con la falla CVSS 9,8 — non ha fornito alcuna timeline per le correzioni, al punto che gli esperti di sicurezza consigliano apertamente di sostituire completamente questi dispositivi. Fermati un secondo su questo punto: un’azienda vende un dispositivo che dà accesso fisico remoto ai tuoi server, i ricercatori scoprono che chiunque può prenderne il controllo senza password, e il produttore non si impegna a correggere. A giugno 2025 RunZero aveva identificato 404 di questi dispositivi esposti direttamente su internet. A gennaio 2026, il numero era quadruplicato a 1.611. In sette mesi. Senza che nessuno battesse ciglio. Benvenuto nell’internet delle cose.
Dal KVM alla botnet: il quadro è molto peggio di quanto pensi
Le falle nei KVM non sono un caso isolato — sono l’ennesimo sintomo di una malattia sistemica che infetta l’intero ecosistema IoT e OT da almeno un decennio. La botnet Mirai del 2016 avrebbe dovuto essere il campanello d’allarme definitivo: centinaia di migliaia di telecamere IP e router con credenziali di fabbrica mai cambiate, trasformati in un esercito di zombie capace di mettere in ginocchio Twitter, Netflix, Reddit e GitHub in un colpo solo. Dieci anni dopo la lezione non è stata imparata — è stata ignorata attivamente, perché impararla avrebbe significato spendere soldi veri in sicurezza vera. La botnet Aisuru/TurboMirai ha raggiunto una capacità DDoS superiore ai 20 Tbps nel biennio 2025-2026, con una crescita del 700% anno su anno. Microsoft Azure ha dovuto bloccare un attacco DDoS da 15,72 Tbps a inizio 2026, collegato proprio a botnet IoT. BadBox 2.0 ha compromesso oltre dieci milioni di smart TV, proiettori e sistemi di infotainment con malware preinstallato di fabbrica — non dopo l’acquisto, direttamente dalla catena di produzione — diventando la più grande botnet televisiva mai documentata. E il reclutamento non si ferma: ShadowV2, Eleven11bot con 86.000 dispositivi compromessi, PumaBot che forza connessioni SSH, Kimwolf che ha superato i due milioni di zombie. Ogni dispositivo IoT economico e insicuro che esce dalla fabbrica è un soldato potenziale in un esercito che nessuno ha autorizzato e che nessuno sa come smobilitare.
Il Rapporto Clusit 2026 dipinge un quadro italiano che dovrebbe toglierti il sonno, se ancora non l’ha fatto. I 507 incidenti gravi registrati nel 2025 segnano un +42% rispetto al 2024, ma il dato aggregato nasconde picchi molto più brutali. Il settore governativo, militare e delle forze dell’ordine è in cima alla classifica con oltre il 28% degli incidenti e una crescita del 290% in valore assoluto — duecentonovanta percento, non è un refuso. Le infrastrutture di trasporto hanno subìto un’impennata del 135%, con attacchi che hanno colpito sistemi ferroviari, aeroportuali e logistici. L’84% degli incidenti ha impatto classificato come High o Critical, e il Clusit ha dovuto inventare una nuova categoria — Extreme, al 2,7% del totale — per quegli eventi con conseguenze sistemiche e devastanti che prima non aveva nemmeno previsto nella sua scala. L’Italia è il bersaglio numero uno dell’hacktivism mondiale: due attacchi hacktivisti su tre nel pianeta colpiscono obiettivi italiani, un dato grottesco se ci pensi. Il cybercrime puro copre il 61% del totale, l’hacktivism il 39%. Se ti chiedi come siamo arrivati qui, la risposta non richiede analisi sofisticate: anni di sottoinvestimento cronico, competenze che scarseggiano, una classe dirigente che considera la cybersicurezza una voce di spesa da tagliare e non un’infrastruttura da costruire. Come abbiamo già raccontato in una precedente analisi sulle minacce cyber 2026, il problema è strutturale e la toppa è sempre più piccola del buco.
Il fronte che preoccupa di più è quello dove IT e OT si incontrano — e si fanno del male a vicenda. I sistemi SCADA, i PLC, le interfacce HMI — tutto ciò che controlla fisicamente centrali elettriche, acquedotti, reti ferroviarie, impianti chimici — è sempre più connesso a internet per ragioni di efficienza e risparmio sui costi operativi. Ma questi sistemi hanno cicli di vita di 15-20 anni, girano su software che nessuno aggiorna, e spesso non possono ricevere patch senza fermare l’intero impianto per giorni. Il gruppo iraniano dietro il malware IOCONTROL lo sa benissimo: per tutto il 2025 ha preso di mira sistemi IoT e OT critici negli Stati Uniti e in Israele, con attacchi chirurgici alle interfacce di controllo industriale. Dragos, azienda di riferimento per la sicurezza OT, ha tracciato tre nuovi gruppi di minacce specifici per ambienti industriali solo nel 2026 — gruppi che mappano silenziosamente le reti operative in attesa del momento giusto per colpire. Gli attacchi ransomware contro sistemi OT sono cresciuti del 46% nel 2025, e le interfacce HMI esposte sul web restano il bersaglio preferito. Come ha scritto chi segue la cyberguerra da tempo, il confine tra criminalità informatica e operazioni statali è ormai così sfumato da risultare irrilevante per chi si ritrova con l’impianto fermo e i dati cifrati.
La sicurezza affidata al mercato è un ossimoro
Arriviamo al nocciolo della questione, quello che nessun rapporto di sicurezza e nessun vendor ti dirà mai con questa chiarezza: finché la sicurezza dei dispositivi IoT è lasciata alla buona volontà del mercato, ogni dispositivo connesso è una porta aperta. Non è un difetto del sistema — è il sistema. Un produttore che vende KVM a 30 dollari su Amazon non ha alcun incentivo economico a investire in sicurezza del firmware, validazione crittografica, penetration testing. Il suo incentivo è produrre al costo più basso possibile, vendere al volume più alto possibile, e passare al modello successivo prima che qualcuno scopra i problemi del precedente. Angeet/Yeeso che non fornisce timeline per correggere una falla CVSS 9,8 non è un’anomalia: è il comportamento perfettamente razionale di un’azienda in un mercato senza standard obbligatori e senza conseguenze reali per chi vende prodotti insicuri. Il capitalismo delle piattaforme ha creato un ecosistema perverso dove puoi comprare con due clic un dispositivo che dà accesso root ai tuoi server, lasciare una recensione a cinque stelle perché «funziona e costa poco», e scoprire sei mesi dopo che metà della tua rete è un campo aperto. Il profitto viene prima della sicurezza — sempre, sistematicamente, strutturalmente.
L’Unione Europea ci ha messo anni a partorire il Cyber Resilience Act, entrato in vigore a dicembre 2024. Sulla carta sembra la risposta giusta: obblighi di sicurezza by design per tutti i prodotti con componenti digitali, segnalazione obbligatoria delle vulnerabilità attivamente sfruttate con pre-notifica entro 24 ore, sanzioni per chi non si adegua. Ma i tempi raccontano un’altra storia. Gli obblighi di reporting scatteranno solo a settembre 2026. La conformità piena sarà richiesta da dicembre 2027 — quasi tre anni dalla pubblicazione, un’eternità in un settore dove nasce una nuova botnet ogni settimana. In Italia il quadro normativo è un labirinto di sigle che si sovrappongono senza mai incastrarsi davvero: il Perimetro di Sicurezza Nazionale Cibernetica esiste dal 2019, aggiornato nell’agosto 2025 con il DPCM 111; la direttiva NIS2, recepita con il D.Lgs. 138/2024, impone la segnalazione degli incidenti allo CSIRT Italia da gennaio 2026 e la conformità piena delle misure di sicurezza entro ottobre 2026, con oltre 20.000 organizzazioni nel perimetro. Numeri imponenti, documenti voluminosi, scadenze che si rincorrono. Ma il KVM da 30 dollari che il tecnico del data center ha comprato su Amazon perché quello in dotazione era guasto e il budget per i ricambi era finito a marzo non compare in nessun perimetro, non è coperto da nessuna direttiva, e non verrà mai auditato da nessuno. La burocrazia della sicurezza produce convegni, sigle e PDF — le botnet nel frattempo ingrassano.
La verità che nessuno vuole affrontare è strutturale e — detto senza mezzi termini — politica. Le infrastrutture critiche dipendono da catene di fornitura globali dove nessuno controlla nessuno. Il firmware del tuo KVM è compilato da un team in Shenzhen che non ha mai sentito parlare di secure development lifecycle. Il tuo operatore di data center lo installa perché costa poco e funziona. Il tuo CISO non sa nemmeno che esiste perché non compare nell’inventario degli asset IT — è «solo un dispositivo di gestione». Quando qualcuno lo compromette, il tuo EDR non rileva nulla perché l’attacco opera sotto il sistema operativo. È una catena di irresponsabilità perfetta dove ogni anello punta il dito contro quello successivo e nessuno paga mai il prezzo — tranne l’utente finale, tranne il cittadino che dipende da quell’infrastruttura per l’acqua, l’energia, i trasporti. Se hai letto cosa è successo con gli hacker iraniani e i sistemi militari Stryker, sai che non è un rischio teorico. È cronaca.
Un’alternativa esiste, ma non la troverai nel prossimo prodotto enterprise da ventimila euro né nel prossimo regolamento europeo con tre anni di grace period. La strada passa dalla trasparenza radicale del software libero e dall’autogestione tecnologica delle comunità che lo sviluppano. Un firmware open source è auditabile: chiunque può leggerne il codice, trovare le falle, proporre correzioni senza aspettare che un produttore decida se gli conviene o no. Un dispositivo con firmware proprietario è una scatola nera di cui devi fidarti — e come abbiamo visto, fidarsi del mercato è da ingenui. Progetti come OpenBMC dimostrano che si possono costruire stack di gestione hardware aperti e verificabili. Le reti mesh decentralizzate mostrano che esistono modelli infrastrutturali non dipendenti da singoli vendor o da catene di fornitura opache. Il self-hosting è un atto politico prima che tecnico: significa riprendere il controllo della propria infrastruttura invece di delegarlo a chi ha come unico obiettivo il profitto del prossimo trimestre. Ma servono anche standard minimi obbligatori — non tra tre anni, adesso — con conseguenze economiche devastanti per chi vende dispositivi insicuri. Finché un produttore può ignorare una falla critica senza perdere un solo cliente, il mercato continuerà a funzionare esattamente così. Non è pessimismo: è il funzionamento normale di un sistema che ha deciso — per scelta, non per errore — che la tua sicurezza vale meno dei margini su un aggeggio da trenta dollari.
La questione di fondo è semplice, anche se scomoda. Chi controlla l’infrastruttura controlla tutto ciò che ci passa sopra: dati, comunicazioni, servizi essenziali, vite. Oggi quel controllo è frammentato tra multinazionali che ottimizzano per il profitto, governi che regolamentano sempre in ritardo cronico, e produttori che vendono scatole nere senza alcuna responsabilità verso chi le usa. Le vulnerabilità nei KVM industriali non sono un bug da correggere con la prossima patch. Sono la conseguenza inevitabile di un modello che ha deciso che la sicurezza è un costo e non un diritto. E ogni volta che un dispositivo da trenta dollari dà accesso root non autenticato a un server che controlla un’infrastruttura da cui dipende la tua vita quotidiana, quel modello ti sta dicendo — con una chiarezza che nessun rapporto Clusit potrà mai eguagliare — esattamente quanto vali.