SecAtor

Используемый в более чем 1 млрд. устройств IoT микроконтроллер ESP32 китайского производителя Espressif, обеспечивающий подключение по WiFi и Bluetooth, содержит недокументированные команды, которые могут быть использованы для атак.

Они позволяют подделывать доверенные устройства, осуществлять несанкционированный доступ к данным, переходить на другие устройства в сети и потенциально обеспечить долгосрочное присутствие.

К таким выводам пришли испанские исследователи из Tarlogic Security, представив результаты своего исследования на конференции RootedCON в Мадриде.

Использование такого бэкдора позволяет злоумышленникам фактически навсегда заражать чувствительные устройства, такие как мобильные телефоны, компьютеры, интеллектуальные замки или медицинское оборудование, обходя средства контроля аудита кода.

В своей презентации исследователи Tarlogic пояснили, что им удалось разработать новый драйвер USB Bluetooth на основе C, который является аппаратно-независимым и кроссплатформенным, обеспечивая прямой доступ к оборудованию без использования API-интерфейсов, специфичных для конкретной ОС.

Вооружившись новым инструментом с прямым доступом к трафику Bluetooth, исследователи обнаружили скрытые специфичные для поставщика команды (код операции 0x3F) в прошивке ESP32 Bluetooth, которые позволяют осуществлять низкоуровневый контроль над функциями Bluetooth.

Всего найдено 29 недокументированных команд, которые в совокупности представляют полноценный бэкдор для манипуляции памятью (чтение/запись ОЗУ и флэш-памяти), подмены MAC-адреса (выдача себя за другое устройство) и внедрения пакетов LMP/LLCP.

При этом Espressif официально не задокументировала эти команды, которые либо вовсе должны отсутствовать, либо остались по ошибке.

Тем не менее, проблема теперь отслеживается как CVE-2025-27840.

Среди основных рисков, связанных с использованием этих команд, - вредоносные реализации на уровне OEM и атаки на цепочку поставок.

В зависимости от того, как стеки Bluetooth обрабатывают команды HCI на устройстве, удаленная эксплуатация команд может быть возможна с помощью вредоносной прошивки или мошеннических подключений Bluetooth.

Это особенно актуально, если злоумышленник уже имеет права root, внедрил вредоносное ПО или установил на устройстве вредоносное обновление, открывающее низкоуровневый доступ.

Однако в целом физический доступ к интерфейсу USB или UART устройства был бы гораздо более серьезным и реалистичным сценарием атаки.

Результаты исследования показали практическую возможность полного контроля над чипом ESP32 и сохранения данных в чипе с помощью команд, позволяющих модифицировать оперативную память и флэш-память.

Кроме того, благодаря сохранению уязвимости в чипе, возможно распространение на другие устройства, поскольку ESP32 позволяет выполнять также сложные Bluetooth-атаки.

Несмотря на отсутствии реакции Espressif, некоторые из специалистов считают, что найденные команды являются частью некоего интерфейса тестирования и разработки производства, а не бэкдора.

www.documentcloud.org

2025 RootedCon BluetoothTools

www.tgoop.com/true_secator/6823

5.6K viewsMar 10 at 12:30

Используемый в более чем 1 млрд. устройств IoT микроконтроллер ESP32 китайского производителя Espressif, обеспечивающий подключение по WiFi и Bluetooth, содержит недокументированные команды, которые могут быть использованы для атак.

Они позволяют подделывать доверенные устройства, осуществлять несанкционированный доступ к данным, переходить на другие устройства в сети и потенциально обеспечить долгосрочное присутствие.

К таким выводам пришли испанские исследователи из Tarlogic Security, представив результаты своего исследования на конференции RootedCON в Мадриде.

Использование такого бэкдора позволяет злоумышленникам фактически навсегда заражать чувствительные устройства, такие как мобильные телефоны, компьютеры, интеллектуальные замки или медицинское оборудование, обходя средства контроля аудита кода.

В своей презентации исследователи Tarlogic пояснили, что им удалось разработать новый драйвер USB Bluetooth на основе C, который является аппаратно-независимым и кроссплатформенным, обеспечивая прямой доступ к оборудованию без использования API-интерфейсов, специфичных для конкретной ОС.

Вооружившись новым инструментом с прямым доступом к трафику Bluetooth, исследователи обнаружили скрытые специфичные для поставщика команды (код операции 0x3F) в прошивке ESP32 Bluetooth, которые позволяют осуществлять низкоуровневый контроль над функциями Bluetooth.

Всего найдено 29 недокументированных команд, которые в совокупности представляют полноценный бэкдор для манипуляции памятью (чтение/запись ОЗУ и флэш-памяти), подмены MAC-адреса (выдача себя за другое устройство) и внедрения пакетов LMP/LLCP.

При этом Espressif официально не задокументировала эти команды, которые либо вовсе должны отсутствовать, либо остались по ошибке.

Тем не менее, проблема теперь отслеживается как CVE-2025-27840.

Среди основных рисков, связанных с использованием этих команд, - вредоносные реализации на уровне OEM и атаки на цепочку поставок.

В зависимости от того, как стеки Bluetooth обрабатывают команды HCI на устройстве, удаленная эксплуатация команд может быть возможна с помощью вредоносной прошивки или мошеннических подключений Bluetooth.

Это особенно актуально, если злоумышленник уже имеет права root, внедрил вредоносное ПО или установил на устройстве вредоносное обновление, открывающее низкоуровневый доступ.

Однако в целом физический доступ к интерфейсу USB или UART устройства был бы гораздо более серьезным и реалистичным сценарием атаки.

Результаты исследования показали практическую возможность полного контроля над чипом ESP32 и сохранения данных в чипе с помощью команд, позволяющих модифицировать оперативную память и флэш-память.

Кроме того, благодаря сохранению уязвимости в чипе, возможно распространение на другие устройства, поскольку ESP32 позволяет выполнять также сложные Bluetooth-атаки.

Несмотря на отсутствии реакции Espressif, некоторые из специалистов считают, что найденные команды являются частью некоего интерфейса тестирования и разработки производства, а не бэкдора.

BY SecAtor