I et indlæg på http://www.bleepingcomputer.com fortæller Bill Toulas, at ESP32-mikrocontrolleren, der er fremstillet af den kinesiske producent Espressif og brugt i over 1 milliard produkter fra landeringen i 2023, indeholder udokumenterede kommandoer, som kan udnyttes til cyberangreb. De udokumenterede kommandoer tillader spoofing af sikre enheder, uautoriseret dataadgang og konnektering til andre apparater på et netværk. ”Bagdøren” blev opdaget af de spanske forskere Miguel Tarascó Acuña og Antonio Vázquez Blanco fra Tarlogic Security, som præsenterede deres resultater på RootedCON-konferencen i sidste uge i Madrid.
– Tarlogic Security har opdaget en bagdør i ESP32, en mikrocontroller, der muliggør WiFi og Bluetooth-forbindelse og som er til stede i millioner af volumenmarked IoT-enheder. Udnyttelse af denne bagdør ville gøre det muligt for fjendtlige aktører at udføre efterligningsangreb og permanent inficere følsomme enheder såsom mobiltelefoner, computere, smartlåse eller medicinsk udstyr ved at omgå kontrol af koderevision, forlyder det i en Tarlogic-pressemeddelelse, der delt via BleepingComputer.
Forskerne advarede om, at ESP32 er en af verdens mest brugte chips til Wi-Fi + Bluetooth-forbindelse i IoT-enheder (Internet of Things), så risikoen er betydelig. I deres RootedCON-præsentation forklarede Tarlogic-forskerne, at interessen for Bluetooth-sikkerhedsforskning er aftaget, men ikke fordi protokollen eller dens implementering er blevet mere sikker.
I stedet blev de fleste af sidste års angrebs udført uden deciderede værktøjer eller gennem samarbejde med den generiske hardware, men brugte i stedet ældre og uvedligeholdte værktøjer, der grundlæggende ikker er kompatible med moderne systemer. Tarlogic har udviklet en ny C-baseret USB Bluetooth-driver, der er hardware-uafhængig og som fungerer på tværs af alle platforme, så man opnår direkte adgang til hardwaren uden brug af OS-specifikke API’er.
Bevæbnet med dette nye værktøj, som muliggør rå dataadgang til Bluetooth-trafik, opdagede Tarlogic skjulte leverandørspecifikke kommandoer (Opcode 0x3F) i ESP32 Bluetooth-firmwaren, hvormed man kan opnå low-level kontrol over Bluetooth-funktionerne. I alt fandt Tarlogic 29 udokumenterede kommandoer, samlet karakteriseret som en bagdør, der kunne bruges til hukommelsesmanipulation (read/writa af RAM og Flash), MAC-adressespoofing (efterligning) samt LMP/LLCP-pakkeinjektion.
Espressif har ikke offentligt dokumenteret disse kommandoer, så enten var det ikke meningen, at de skulle være tilgængelige, eller også blev de efterladt ved en fejl. Problemet spores nu under CVE-2025-27840.
De risici, der opstår ved disse kommandoer, omfatter ondsindede implementeringer på OEM-niveau og forsyningskædeangreb. Afhængigt af, hvordan Bluetooth-stacks håndterer HCI-kommandoer på enheden, kan fjernudnyttelse af kommandoerne være mulig via malware eller falske Bluetooth-forbindelser. Det er især tilfældet, hvis en angriber allerede har root-adgang, plantet malware eller en ondsindet opdatering placeret i enheden, hvormed der bliver low-level adgang.
Generelt ville fysisk adgang til enhedens USB- eller UART-interface dog udgøre en langt større risiko og være et mere realistisk angrebsscenarie.
– I en kontekst, hvor man kan kompromittere en IOT-enhed med som ESP32, vil man være i stand til at skjule en APT inde i ESP-hukommelsen og udføre Bluetooth (eller Wi-Fi) angreb mod andre enheder, mens man kontrollerer enheden over Wi-Fi/Bluetooth. Vores resultater ville gøre det muligt fuldt ud at tage kontrol over ESP32-controllerne og få ophold i chippen via kommandoer, der tillader RAM- og Flash-modifikation, forklarede forskerne til BleepingComputer.
BleepingComputer har kontaktet Espressif for at få en udtalelse om forskernes resultater, men en kommentar var ikke umiddelbart tilgængelig.
– Den fundne funktionalitet er debug-kommandoer inkluderet til testformål. Disse fejlretningskommandoer er en del af Espressifs implementering af HCI (Host Controller Interface)-protokollen, der bruges i Bluetooth-teknologien. Denne protokol bruges internt i et produkt til at kommunikere mellem Bluetooth-lag, lyder det i Espressifs forklaring.
På trods af den lave risiko erklærede leverandøren, at den vil fjerne fejlretningskommandoerne i en fremtidig softwareopdatering:
– Selvom disse fejlretningskommandoer eksisterer, kan de ikke i sig selv udgøre en sikkerhedsrisiko for ESP32-chips. Espressif vil stadig levere en softwarefix til at fjerne disse udokumenterede kommandoer, hævder og lover Espressif.
Det engelsksprogede indlæg kan sammen med memory-maps og scripts ses i indlægget på BleepingComputers website: Undocumented commands found in Bluetooth chip used by a billion devices
