編譯 | ZeR0
編輯 | 漠影
芯東西3月10日訊息,據Bleeping Computer報道,中國無線通訊晶片公司樂鑫科技的ESP32微晶片被發現包含可用於攻擊的未記錄命令。未記錄的命令允許欺騙受信任裝置、未經授權的資料訪問、轉向網路上的其他裝置,並可能建立長期永續性。ESP32是一個支援Wi-Fi和藍牙連線的微控制器,截至2023年已被超過10億臺裝置使用。
這是由Tarlogic Security的西班牙研究人員Miguel Tarascó Acuña和Antonio Vázquez Blanco發現的,他們在馬德里的RootedCON上展示了這一發現。利用在ESP32中檢測到的後門,惡意行為者可模擬攻擊,繞過程式碼審計控制,永久感染手機、計算機、智慧鎖或醫療裝置等敏感裝置。BleepingComputer已聯絡樂鑫就這一發現發表宣告,但沒有立即得到置評。
研究人員警告說,ESP32是世界上物聯網裝置中Wi-Fi + 藍牙連線使用最廣泛的晶片之一,因此風險很大。
▲RootedCON演講的幻燈片(來源:Tarlogic)
在RootedCON演講期間,Tarlogic研究人員解釋道,人們對藍牙安全研究的興趣已經減弱,但這並不是因為協議或其實現變得更加安全。相反,去年提出的大多數攻擊都沒有可用工具,不適用於通用硬體,並使用了與現代系統基本不相容的過時/未維護的工具。
Tarlogic開發了一種新的基於C的USB藍牙驅動程式。該驅動程式獨立於硬體和跨平臺,允許在不依賴作業系統特定API的情況下直接訪問硬體。
藉助這個可原始訪問藍牙流量的新工具,Tarlogic在ESP32藍牙韌體中發現了隱藏的供應商特定命令(操作碼0x3F),這些命令支援對藍牙功能進行低階控制。他們總共發現了29個未記錄的命令,統稱為“後門”,可用於記憶體操作(讀/寫RAM和Flash)、MAC地址欺騙(裝置冒充)和LMP/LLCP資料包注入。
▲ESP32記憶體對映(來源:Tarlogic)
樂鑫沒有公開記錄這些命令,因此它們要麼不應被訪問,要麼是被錯誤地留下的。這個問題現在在CVE-2025-27840下進行跟蹤。
▲發出HCI命令的指令碼(來源:Tarlogic)
這些命令產生的風險包括OEM級別的惡意實現和供應鏈攻擊。根據藍牙棧如何處理裝置上的HCI命令,可能會透過惡意韌體或惡意藍牙連線遠端利用這些命令。
如果攻擊者已經擁有根訪問許可權,植入惡意軟體或在開啟低階訪問的裝置上推送惡意更新,情況尤其如此。
不過通常情況下,物理訪問裝置的USB或UART介面的風險要大得多,也是更現實的攻擊場景。
“在使用ESP32攻擊物聯網裝置的情況下,你可以將APT隱藏在ESP記憶體中,並透過Wi-Fi/藍牙控制裝置,對其他裝置進行藍牙(或Wi-Fi)攻擊。”研究人員向BleepingComputer解釋說,“我們的發現將允許完全控制ESP32晶片,並透過允許RAM和快閃記憶體修改的命令在晶片上獲得永續性。”
此外,由於晶片的永續性,它可能會傳播到其他裝置,因為ESP32支援執行高階藍牙攻擊。
來源:Bleeping Computer