O onipresente microchip ESP32, fabricado pela empresa chinesa Espressif e utilizado em mais de 1 bilhão de unidades até 2023, contém comandos não documentados que podem ser aproveitados para ataques.
Os comandos não documentados permitem a falsificação de dispositivos confiáveis, acesso não autorizado a dados, pivoteamento para outros dispositivos na rede e, potencialmente, o estabelecimento de persistência de longo prazo.
Isso foi descoberto pelos pesquisadores espanhóis Miguel Tarascó Acuña e Antonio Vázquez Blanco da Tarlogic Security, que apresentaram suas descobertas ontem na RootedCON em Madrid.
"A Tarlogic Security detectou um backdoor no ESP32, um microcontrolador que possibilita a conexão WiFi e Bluetooth e está presente em milhões de dispositivos IoT de mercado massivo", lê-se em um anúncio da Tarlogic compartilhado.
A exploração desse backdoor permitiria a atores hostis conduzir ataques de personificação e infectar permanentemente dispositivos sensíveis como celulares, computadores, fechaduras inteligentes ou equipamentos médicos, contornando controles de auditoria de código.
Os pesquisadores alertaram que o ESP32 é um dos chips mais utilizados mundialmente para conectividade Wi-Fi + Bluetooth em dispositivos IoT (Internet das Coisas), então o risco é significativo.
Em sua apresentação na RootedCON, os pesquisadores da Tarlogic explicaram que o interesse na pesquisa de segurança Bluetooth diminuiu, mas não porque o protocolo ou sua implementação se tornaram mais seguros.
Em vez disso, a maioria dos ataques apresentados no último ano não tinha ferramentas de trabalho, não funcionava com hardware genérico e utilizava ferramentas desatualizadas/não mantidas largamente incompatíveis com sistemas modernos.
A Tarlogic desenvolveu um novo driver USB Bluetooth baseado em C que é independente de hardware e multiplataforma, permitindo acesso direto ao hardware sem depender de APIs específicas do sistema operacional.
Armados com essa nova ferramenta, que permite acesso bruto ao tráfego Bluetooth, a Tarlogic descobriu comandos específicos do fornecedor ocultos (Opcode 0x3F) no firmware Bluetooth do ESP32 que permitem controle de baixo nível sobre as funções Bluetooth.
No total, eles encontraram 29 comandos não documentados, coletivamente caracterizados como um "backdoor", que poderiam ser usados para manipulação de memória (leitura/escrita RAM e Flash), spoofing de endereço MAC (personificação de dispositivo) e injeção de pacotes LMP/LLCP.
A Espressif não documentou publicamente esses comandos, portanto, ou eles não deveriam ser acessíveis, ou foram deixados por engano.
O problema agora está rastreado sob o
CVE-2025-27840
.
Os riscos decorrentes desses comandos incluem implementações maliciosas no nível OEM e ataques à cadeia de suprimentos.
Dependendo de como as pilhas Bluetooth lidam com comandos HCI no dispositivo, a exploração remota dos comandos pode ser possível via firmware malicioso ou conexões Bluetooth desonestas.
Isso é especialmente o caso se um atacante já tem acesso root, plantou malware ou enviou uma atualização maliciosa no dispositivo que abre acesso de baixo nível.
De modo geral, no entanto, o acesso físico à interface USB ou UART do dispositivo seria muito mais arriscado e um cenário de ataque mais realista.
"Em um contexto em que você pode comprometer um dispositivo IoT com o ESP32, você será capaz de esconder um APT dentro da memória do ESP e realizar ataques Bluetooth (ou Wi-Fi) contra outros dispositivos, enquanto controla o dispositivo via Wi-Fi/Bluetooth", explicaram os pesquisadores.
Nossas descobertas permitiriam assumir o controle total sobre os chips ESP32 e ganhar persistência no chip por meio de comandos que permitem a modificação de RAM e Flash.
Além disso, com a persistência no chip, pode ser possível se espalhar para outros dispositivos porque o ESP32 permite a execução de ataques Bluetooth avançados.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...