![十亿台设备使用的蓝牙芯片中发现未记录的命令后门]( "十亿台设备使用的蓝牙芯片中发现未记录的命令后门")
截至 2023 年,由 Espressif 制造生产的大量的 ESP32 微芯片已被超过 10 亿台设备使用,其中包含可用于攻击的未记录命令。
未记录的命令允许欺骗受信任的设备、未经授权的数据访问、转向网络上的其他设备,并可能建立长期持久性。
这是由西班牙 Tarlogic Security 的研究人员 Miguel Tarascó Acuña 和 Antonio Vázquez Blanco 发现的,他们昨天在马德里的RootedCON上展示了他们的研究结果。
Tarlogic与 BleepingComputer 分享的一份公告中写道:“Tarlogic Security 在 ESP32 中检测到一个后门,ESP32 是一种支持 WiFi 和蓝牙连接的微控制器,存在于数百万大众市场的物联网设备中。”
利用此后门将允许敌对行为者进行冒充攻击,并通过绕过代码审计控制永久感染敏感设备,如手机、电脑、智能锁或医疗设备。
研究人员警告称,ESP32 是全球在 IoT(物联网)设备中用于 Wi-Fi + 蓝牙连接最广泛使用的芯片之一,因此风险很大。
![十亿台设备使用的蓝牙芯片中发现未记录的命令后门]( "十亿台设备使用的蓝牙芯片中发现未记录的命令后门")
发现 ESP32 中未记录的命令
Tarlogic 的研究人员在 RootedCON 演讲中解释道,人们对蓝牙安全研究的兴趣已经减弱,但这并不是因为该协议或其实现变得更加安全。
相反,去年出现的大多数攻击都没有可用的工具,无法与通用硬件配合使用,并且使用了与现代系统不兼容的过时/未维护的工具。
Tarlogic 开发了一种新的基于 C 的 USB 蓝牙驱动程序,该驱动程序独立于硬件且跨平台,允许直接访问硬件,而无需依赖特定于操作系统的 API。
利用这个可以原始访问蓝牙流量的新工具,Tarlogic 在 ESP32 蓝牙固件中发现了隐藏的供应商特定命令(操作码 0x3F),这些命令允许对蓝牙功能进行低级控制。
![十亿台设备使用的蓝牙芯片中发现未记录的命令后门]( "十亿台设备使用的蓝牙芯片中发现未记录的命令后门")
总共,他们发现了 29 条未记录的命令,统称为“后门”,可用于内存操作(读/写 RAM 和 Flash)、MAC 地址欺骗(设备模仿)和 LMP/LLCP 数据包注入。
Espressif 尚未公开记录这些命令,因此它们要么本来就无法访问,要么是被错误地遗漏了。此问题目前已在CVE-2025-27840下进行跟踪。
![十亿台设备使用的蓝牙芯片中发现未记录的命令后门]( "十亿台设备使用的蓝牙芯片中发现未记录的命令后门")
这些命令带来的风险包括OEM级别的恶意实施和供应链攻击。
根据蓝牙堆栈如何处理设备上的 HCI 命令,可能通过恶意固件或恶意蓝牙连接远程利用这些命令。
如果攻击者已经拥有 root 访问权限、植入了恶意软件或在设备上推送了开放低级访问权限的恶意更新,则尤其如此。
但一般来说,物理访问设备的 USB 或 UART 接口的风险更大,而且是一种更现实的攻击场景。
研究人员向 BleepingComputer 解释道:“在可以使用 ESP32 等入侵物联网设备的环境中,您将能够在 ESP 内存中隐藏 APT,并对其他设备执行蓝牙(或 Wi-Fi)攻击,同时通过 Wi-Fi/蓝牙控制该设备。”
我们的发现将允许完全控制 ESP32 芯片,并通过允许 RAM 和 Flash 修改的命令获得芯片的持久性。
此外,由于芯片具有持久性,因此可能会传播到其他设备,因为 ESP32 允许执行高级蓝牙攻击。
BleepingComputer 已联系 Espressif 就研究人员的发现发表声明,但尚未得到任何评论。
Espressif 周一发表声明回应 Tarlogic 的调查结果,称未记录的命令是用于内部测试的调试命令。
Espressif 的声明中写道:“发现的功能是为了测试目的而包含的调试命令。
这些调试命令是 Espressif 对蓝牙技术中使用的 HCI(主机控制器接口)协议的实现的一部分。该协议在产品内部用于蓝牙层之间的通信。
尽管风险较低,但供应商表示将在未来的软件更新中删除调试命令。
Espressif 表示:虽然这些调试命令存在,但它们本身不会对 ESP32 芯片构成安全风险。Espressif 仍将提供软件修复程序来删除这些未记录的命令。
信息来源 :BleepingComputer
原文始发于微信公众号(犀牛安全):十亿台设备使用的蓝牙芯片中发现未记录的命令后门
评论