
截至 2023 年,由中国乐鑫公司生产的 ESP32 微芯片已被超过 10 亿设备使用。这些微芯片中包含未记录的命令,可能被利用进行攻击。
未记录的命令可以欺骗可信设备,进行未经授权的数据访问,在网络上跳转到其他设备,并可能实现长期持久性。
这是由西班牙研究人员 Miguel Tarascó Acuña 和 Antonio Vázquez Blanco 在 Tarlogic Security 发现的,他们昨天在马德里的 RootedCON 上展示了研究成果。
“Tarlogic Security 检测到 ESP32 微控制器中存在后门,该微控制器支持 WiFi 和蓝牙连接,并广泛应用于数百万大众市场的物联网设备中,”Tarlogic 公告中写道。
利用这个后门,敌对行为者可以进行冒充攻击,并通过绕过代码审计,永久感染敏感设备,如手机、电脑、智能锁或医疗设备。
研究人员警告说,ESP32 是全球物联网(IoT)设备中使用最广泛的 Wi-Fi 和蓝牙连接芯片之一,因此风险显著。

探索 ESP32 中的未记录命令
在 RootedCON 的演讲中,Tarlogic 的研究人员指出,尽管蓝牙协议及其实现并未变得更安全,但对其安全研究的兴趣已有所减弱。
相反,去年展示的大多数攻击缺乏有效工具,不适用于通用硬件,且使用的工具过时且未维护,与现代系统严重不兼容。
Tarlogic 开发了一个基于 C 语言的 USB 蓝牙驱动程序,该驱动程序不依赖于硬件且跨平台,可直接访问硬件,无需依赖特定操作系统的 API。
有了这个新工具,可以直接访问蓝牙流量,Tarlogic 在 ESP32 蓝牙固件中发现了隐藏的供应商特定命令(操作码 0x3F),这些命令允许对蓝牙功能进行低级控制。

来源:Tarlogic
总共,他们发现了 29 个未记录的命令,这些命令被统称为“后门”,可用于内存操作(读写 RAM 和 Flash)、MAC 地址欺骗(设备冒充)以及 LMP/LLCP 数据包注入。
乐鑫尚未公开这些命令的文档,因此这些命令要么不应被访问,要么是无意中遗留的。此问题现已被标记为 CVE-2025-27840。

来源:Tarlogic
这些命令带来的风险包括在 OEM 级别的恶意实现以及供应链攻击。
根据设备上蓝牙堆栈处理 HCI 命令的方式,可能会通过恶意固件或非法蓝牙连接远程利用这些命令。
如果攻击者已经获得 root 权限,在设备上植入恶意软件,或者推送恶意更新以获取低级访问权限,情况尤其严重。
一般来说,物理访问设备的 USB 或 UART 接口会更加危险,且更接近现实的攻击场景。
“在可以用 ESP32 入侵物联网设备的环境中,你可以将 APT 隐藏在 ESP 的内存中,并通过蓝牙或 Wi-Fi 对其他设备发起攻击,同时通过 Wi-Fi 或蓝牙远程控制该设备,”研究人员解释道。
我们的发现将使我们能够完全控制 ESP32 芯片,并通过允许修改 RAM 和 Flash 的命令在芯片中实现持久性。
此外,由于芯片的持久性,可能能够传播到其他设备,因为 ESP32 支持执行高级蓝牙攻击。