[English]Sehr unschöne Geschichte, die Sicherheitsforscher von Tarlogic Security gerade offen gelegt haben. Es gibt einen Satz unbekannter Befehle, die quasi als Backdoor missbraucht werden könnten) in einem populären Chip, der in Millionen Geräten zur Unterstützung von BlueTooth- und WiFi-Verbindungen verbaut wurde.
Anzeige
Worum geht es?
In Millionen von Smartphones, Computern, intelligenten Schlösser, medizinischen Geräten und IoT-Geräten ist ein ESP32-Mikrocontroller verbaut, der zur Abwicklung von WiFi- und Bluetooth-Verbindungen verwendet wird. Es ist
Sicherheitsforscher von Tarlogic Security sind bei einer Analyse drauf gestoßen, dass dieser Mikrocontroller einen undokumentierten Befehlsset unterstützt, der bisherigen Audits entgangen ist. Dieser Befehlssatz ließe sich quasi als Backdoor missbrauchen.
Der Tarlogic Security-Bericht
Tarlogic Security hat ein Tool (BluetoothUSB) entwickelt, um Sicherheitsaudits von Bluetooth-Geräten unter diversen Betriebssystemen durchzuführen. Tarlogic BluetoothUSB ist ein Treiber, mit dem Sicherheitstests und Angriffe implementiert werden können, um vollständige Sicherheitsprüfungen auf allen Arten von Geräten unabhängig vom Betriebssystem oder der Programmiersprache und ohne die Notwendigkeit einer Vielzahl von Hardware zur Durchführung aller Tests in einer Prüfung zu erreichen.
Bei Tests sind die Sicherheitsforscher auf undokumentierte Befehle im ESP32-Mikrochip gestoßen, der in Millionen (IoT-)Geräten verbaut ist. Tarlogic entdeckte versteckte herstellerspezifische Befehle (Opcode 0x3F) in der ESP32-Bluetooth-Firmware, die eine Low-Level-Kontrolle über Bluetooth-Funktionen ermöglichen.
Anzeige
Der ca. 2 US-Dollar kostende Mikrocontroller ermöglicht WiFi- und Bluetooth-Verbindungen und ist praktisch in fast allen oben genannten Geräten verbaut. Die Sicherheitsforscher bezeichnen die versteckte Funktion in Form undokumentierter Befehle als "Hintertür im ESP32". Diese Backdoor ermöglicht es Angreifen durch Ausnutzung dieser Befehle sogenannte "Imitationsangriffe" durchzuführen und empfindliche Geräte wie Mobiltelefone, Computer, intelligente Schlösser oder medizinische Geräte dauerhaft zu infizieren, indem sie die Code-Audit-Kontrollen umgehen.
Auf diese Weise könnten sich böswillige Akteure als bekannte Geräte ausgeben, um sich mit Mobiltelefonen, Computern und intelligenten Geräten zu verbinden, selbst wenn diese sich im Offline-Modus befinden, heißt es. Auf diese Weise können Angreifer an vertrauliche Informationen gelangen, die auf den Geräten gespeichert sind. So ließe sich Zugang zu persönlichen und geschäftlichen Gesprächen erhalten, um Bürger und Unternehmen auszuspionieren.
Die spanischen Sicherheitsforscher Miguel Tarascó Acuña und Antonio Vázquez Blanc haben ihre Erkenntnisse auf RootedCON in Madrid publik gemacht (Folien hier) und dazu auch einen Artikel Tarlogic detects a hidden feature in the mass-market ESP32 chip that could infect millions of IoT devices zum 6. März 2025 veröffentlicht.
Bleeping Computer hat wohl zusätzliche Informationen zu den undokumentierten Befehlen erhalten und in diesem Beitrag beschrieben. Insgesamt wurden 29 undokumentierte Befehle gefunden, die Speichermanipulationen (Lesen/Schreiben von RAM und Flash), MAC-Adress-Spoofing (Geräte-Identifizierung) und LMP/LLCP-Paketinjektion ermöglichen.
Inzwischen gibt es CVE-2025-27840 zu diesem 29 nicht durch Espressif in seinem ESP32 Chip dokumentierten Befehlen. Der Base Score ist mit 6.8 (Medium) eingestuft. Mir ist aber unklar, wie man sich als Benutzer vor der Ausnutzung schützen kann und ob es ein Firmware-Update des Herstellers gibt, der diese Schwachstelle in Geräten entfernt.
Anzeige
Tarlogic hat das leider ein bisschen arg reiserisch publiziert. Um die "Backdoor" auszunutzen muss man schon Code auf dem ESP ausführen können, das heißt es gibt keine Gefahr dass jemand am Haus vorbeifährt und das Smarthome übernimmt.
Na hervorragend. Das Managementmodul meines Wechselrichter (SunGrow) hat eine interne Interface Bezeichnung "espressif" … ich bin begeistert.
Soweit ich mich da bisher eingelesen habe, ist für die Ausnutzung physischer Zugriff auf Schnittstellen ESP erforderlich. OTA soll da wohl bisher keine Möglichkeit zur Ausnutzung bestehen.
Naja OTA gehts z.b. per Firmwareupdate deiner Aliexpress-Wifi-Lampe … ;)
Ja, und auf viele weitere Wege.
Den meisten fehlt in solchen Dingen einfach die Phantasie und die "andere" Denkweise von Angreifern…
Wenn ich ein FW Update einspielen kann, habe ich bereits alles um das Gerät zu kompromitieren. Das wäre dann jedoch kein Ausnutzen der nun bekannt gewordenen Sicherheitslücken.
Gemeint ist wohl eher, die Aliexpress-Wifi-Lampe bekommt ein "passendes"Firmwareupdate und von da aus nutzt man dann die undokumentierten ESP32 Befehle …
Das kann natürlich sein, ist meines Erachtens aber irrelevant. Wenn der jeweilige Hersteller solche Updates in mein Netz bringen kann, braucht er die Lücke nicht ausnutzen und hätte zig bequemere Möglichkeiten. Wenn man Aliexpress oder ähnlichen nicht vertraut, sollte man diese Produkte auch nicht einsetzen. Lücke hin oder her.
Aliexpress ist ein Versandunternehmen wie amazon.
Ich denke, ähnliche Mechanismen wird jeder Hersteller von Elektronikkomponenten in seiner Software haben. Wenn ich es richtig verstehe, sind es ja z.B. Befehle, um auf den NVRAM zu schreiben und so z.B. Seriennummer und MAC-Adresse zu setzen – Dinge, die man im Produktionsprozeß braucht.
Sicherlich besteht ein Risiko darin, ein bestehendes Gerät zu klonen und sich dann z.B. einem Smartphone gegenüber als dieses auszugeben, aber das setzt (neben krimineller Energie) auch weitergehende Zugriffsmöglichkeiten voraus und funktioniert nicht aus der Ferne.
Für mich rangiert das in derselben Kategorie wie etwa das beliebte Zurücksetzen von Digitaltachos (oder der SMART-Betriebsstunden bei den Festplatten neulich), der eigentliche Betrug fängt eine Stufe später an.
Undokumentierte Befehle an sich sind nichts neues, der eine oder andere erinnert sich vielleicht noch an die DD- und FD-Befehle im Zilog Z80 vor etwa 50 Jahren.
Für medizinische Produkte, bzw. allgemein sicherheitsrelevante Produkte sicher ein großes Problem, wenn jemand von außen eine Beatmungsmaschine abschalten kann oder ggf. auf Mobiltelefone zugreifen kann und damit Geld stehlen kann.
Die meisten Privatanwender steuern irgendwelche Haushaltsgeräte, nun wenn die plötzlich nicht mehr funktionieren oder kopiert werden… der Schaden dürfte überschaubar sein. Insbesondere wenn man diese Geräte z.b. in ein Smarthome einsetzt, welches zu Hause ohne Cloud läuft! Wenn die Geräte nur in meinem Heimnetz sind, wer will da was dran drehen?
Es reicht ein Gerät, das kompromitiert ist und sich von aussen steuern lässt, dann ist das Heimnetz praktisch offen…
Erstmal stellt sich mir die Frage, ob in einem Gerät für Kritische Infrastruktur überhaupt das Wlan Bluetooth Modul fest veröltet werden sollte.
Eine normale PCI-E Wlan Bluetooth Karte wie man sie aus Laptops kennt, könnte nach einem Firmwareupdate des Medizinischen Gerätes problemlos ersetzt werden.
Bei Internet of Things Geräten wird sich das Problem von selbst lösen. Die haben meistens keine besonders hohe Lebenserwartung. Wenn es nach dem Firmwareupdates geht sind sie verhältnismäßig schnell EOL. Ein weiterer Betrieb geschieht dann auf eigene Gefahr.