O onipresente microchip ESP32, fabricado pelo fabricante chinês Espressif e utilizado em mais de 1 bilhão de unidades até 2023, contém um "backdoor" não documentado que pode ser explorado em ataques.
Os comandos não documentados permitem a falsificação de dispositivos confiáveis, acesso não autorizado a dados, redirecionamento para outros dispositivos na rede e potencialmente o estabelecimento de persistência de longo prazo.
Isso foi descoberto pelos pesquisadores espanhóis Miguel Tarascó Acuña e Antonio Vázquez Blanco da Tarlogic Security, que apresentaram suas descobertas ontem na RootedCON em Madri.
"A Tarlogic Security detectou um backdoor no ESP32, um microcontrolador que permite conexão WiFi e Bluetooth e está presente em milhões de dispositivos IoT de mercado de massa", diz um anúncio da Tarlogic compartilhado.
A exploração desse backdoor permitiria a atores hostis conduzir ataques de impersonation e infectar permanentemente dispositivos sensíveis como telefones celulares, computadores, fechaduras inteligentes ou equipamentos médicos, contornando controles de auditoria de código.
Os pesquisadores alertaram que o ESP32 é um dos chips mais utilizados no mundo para conectividade Wi-Fi + Bluetooth em dispositivos IoT (Internet das Coisas), então o risco de qualquer backdoor neles é significativo.
Em sua apresentação na RootedCON, os pesquisadores da Tarlogic explicaram que o interesse na pesquisa de segurança do Bluetooth diminuiu, mas não porque o protocolo ou sua implementação se tornou mais seguro.
Em vez disso, a maioria dos ataques apresentados no último ano não possuía ferramentas funcionais, não funcionava com hardware genérico e usava ferramentas desatualizadas/não mantidas em grande parte incompatíveis com sistemas modernos.
A Tarlogic desenvolveu um novo driver USB Bluetooth baseado em C que é independente de hardware e multiplataforma, permitindo acesso direto ao hardware sem depender de APIs específicas do OS.
Armados com essa nova ferramenta, que permite acesso bruto ao tráfego Bluetooth, a Tarlogic descobriu comandos específicos do fornecedor ocultos (Opcode 0x3F) no firmware Bluetooth do ESP32 que permitem controle de baixo nível sobre as funções Bluetooth.
No total, eles encontraram 29 comandos não documentados, coletivamente caracterizados como um "backdoor", que poderiam ser usados para manipulação de memória (leitura/escrita RAM e Flash), spoofing de endereço MAC (impersonation de dispositivo) e injeção de pacotes LMP/LLCP.
A Espressif não documentou publicamente esses comandos, então ou eles não deveriam ser acessíveis, ou foram deixados por engano.
O problema agora está rastreado sob o
CVE-2025-27840
.
Os riscos decorrentes desses comandos incluem implementações maliciosas no nível do OEM e ataques à cadeia de suprimentos.
Dependendo de como as pilhas de Bluetooth lidam com comandos HCI no dispositivo, a exploração remota do backdoor pode ser possível via firmware malicioso ou conexões Bluetooth desonestas.
Isso é especialmente o caso se um atacante já tem acesso root, plantou malware ou empurrou uma atualização maliciosa no dispositivo que abre acesso de baixo nível.
De modo geral, porém, o acesso físico à interface USB ou UART do dispositivo seria muito mais arriscado e um cenário de ataque mais realista.
"Em um contexto em que você pode comprometer um dispositivo IoT com um ESP32, você será capaz de esconder um APT dentro da memória do ESP e realizar ataques Bluetooth (ou Wi-Fi) contra outros dispositivos, enquanto controla o dispositivo via Wi-Fi/Bluetooth", explicaram os pesquisadores.
"Nossas descobertas permitiriam assumir o controle total sobre os chips ESP32 e ganhar persistência no chip por meio de comandos que permitem modificação de RAM e Flash."
Além disso, com persistência no chip, pode ser possível espalhar para outros dispositivos porque o ESP32 permite a execução de ataques Bluetooth avançados.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...