BandaAncha

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate

Encontrada puerta trasera en chip ESP32 de Espressif

1
Sokiev
13

Como ya se ha publicado en diversos sitios especializados, el chip ESP32 se habría convertido en un elemento a evitar en redes y configuraciones críticas.

El descubrimiento se debe a los investigadores españoles Miguel Tarascó y Antonio Vázquez, de Tarlogic Security, y que presentaron los detalles en la RootedCOM que se está realizando en Madrid, en el día de ayer.

La puerta trasera (dada la sospechosa intencionalidad, puede que no se trate de un bug) consiste en la existencia en el chip de un total de 29 comandos del fabricante, no documentados en el firmware Bluetooth del ESP32, que permiten manipular memoria, falsificar direcciones MAC e inyectar paquetes en la red.

Este puerta trasera, en el mundo real, tendría capacidad de realizar ataques como suplantación de dispositivos en red, acceso no autorizado a datos e inyección y persistencia de código malicioso en dispositivos sensibles como teléfonos, cerraduras inteligentes, equipos críticos como médicos, etc.

Su explotación no solo requiere acceso físico, sino que podría suceder gracias a una actualización de firmware maliciosa o dispositivos Bluetooth/wifi previamente vulnerados, que podrían utilizar el ESP32 como “puente” para extenderse en la red local.

El fabricante, Espressif, originario de Shanghai, China, no ha hecho ninguna declaración hasta el momento.

Estos chips son los más populares en la domótica en general, usos específicos industriales y entre los usuarios entusiastas/aficionados de la tecnología y domótica.

Este chip, con capacidad Bluetooth+WiFi (2,4Ghz) puede encontrarse en +1.000 millones de dispositivos, incluyendo enchufes inteligentes, bombillas inteligentes, algunos mandos, estufas wifi… incluso se encuentra en el famoso “Flipper” que tanto se popularizó como la “navaja suiza hacker” por sus capacidad de ser programada con diversos fines.

Fuentes: BleepingComputer, ElIdealGallego

PD: Perdonad la falta de detalle en la información o calidad del post, publicando desde el móvil solo para informar a aquellos que les interese el descubrimiento.

PD2: A la espera de respuestas de Espressif, si llegan en algún momento, me pregunto si un fabricante europeo similar habría caído en este “despiste” de igual manera. Esto deja ver que la colaboración está bien, pero que seria aún mejor poder desarrollar y apoyar soluciones europeas propias para tecnologías que incluso puedan llegar a ser críticas (domótica industrial, en redes de servicios públicos, instituciones…)

Guillermoelectrico
1

Según leo los documentos, sólo afecta al Bluetooth, con lo cual, el atacante tendría que estar a no menos de 10 metros del dispositivo para poder atacarlo. No es efectivo un ataque remoto por una persona maliciosa.

Aparenta simplemente unos comandos de desarrollo que se han quedado ahí sin más y que se olvidaron de borrar.

🗨️ 8
Sokiev
4

Tiene pinta de eso, aunque aún en desarrollo, alguno de esos comandos son… interesantes. Por no hablar de cómo han pasado a producción comandos de desarrollo y “no se han dado cuenta” en 9 años. Aun si fuera un despiste, sería algo monumental.

Por último, afecta solo a la parte Bluetooth, pero cabe la posibilidad (si no he entendido mal) de una posible explotación remota por Bluetooth (lo que, igualmente, requiere estar cerca), por no hablar del firmware (hackean al fabricante de tu estufa wifi → se manda firmware malicioso → red potencialmente vulnerada

lhacc
5

Ni eso. No son comandos que se puedan ejecutar remotamente. Esta "puerta trasera" sólo se puede usar desde el propio dispositivo.

El riesgo está en que uno de los comandos permite escribir en el firmware del ESP32 lo cual permitiría mantener una puerta trasera en él que no sería descubierta al auditar el dispositivo en el que el ESP32 está montado. Pero para poder escribir en este firmware hace falta haber comprometido el dispositivo en sí antes.

🗨️ 6
Jeronimo17

¿Y eso no tiene que ver con la actualización remota del firmware que permite el ESP32?

🗨️ 1
lhacc
1

Estos comandos no tienen nada que ver con eso.

Sokiev
1

No son comandos que se puedan ejecutar remotamente

¿Seguro?

Mañana hackean los servidores desde los que se lanzan las actualizaciones de los radiadores de “Hermanos Julián Martín SL”, que no venden pocos radiadores Bluetooth/wifi con este chip, incluyendo tiendas presenciales.

Se lanza firmware malicioso.

Hecho.

El problema no es el vector de ataque al chip, sino lo que permite el chip para empezar, tal cual, sin modificaciones, debido a que al fabricante (Espressif Systems Co., Ltd. Shanghai) “se le olvidó” depurar durante más de 9 años (en serio, y en actualizaciones, revisiones… se les colaba también?)

🗨️ 3
lhacc

Mañana hackean los servidores desde los que se lanzan las actualizaciones de los radiadores de “Hermanos Julián Martín SL”, que no venden pocos radiadores Bluetooth/wifi con este chip, incluyendo tiendas presenciales.

Exacto, de eso va el ataque, de que puedes modificar el software del ESP32 si el firmware del dispositivo está comprometido, y aunque "limpies" el dispositivo, el ESP32 seguirá "hackeado", cosa que no te esperas. Como te dicen abajo, es enrevesado.

Yo contesto a lo que dice el usuario de que por estar cerca de ti te pueden hackear un dispositivo con ESP32. Es incorrecto. Para usar estos comandos, tienes que tener permisos de ejecución en el dispositivo que contiene el chip.

dev-elizabeth
1

…pero si pueden directamente distribuir firmware malicioso en primer lugar, ¿qué ventaja añade poder usar esa funcionalidad de debug al atacante?

tremendamente exageradas las implicaciones del tema.

🗨️ 1
Sokiev
Sokiev
Idinajui
1

Esto deja ver que la colaboración está bien, pero que seria aún mejor poder desarrollar y apoyar soluciones europeas propias para tecnologías que incluso puedan llegar a ser críticas (domótica industrial, en redes de servicios públicos, instituciones…)

A la gente le puede parecer que esp32 es la panacea del IOT porque es soportado en arduino, pero la realidad es que lo normal para Bluetooth, zigbee o matter es usar chips de Nordic semiconductor. Que por cierto es auropea.

Es más, la implementación de Radio Frecuencia que expressif hace en el silicio, y por tanto la capa de software MAC, (Bluetooth zigbee y wifi) de ExpressIf es una licencia de riverawaves, una compañía francesa.

🗨️ 2
skgsergio

Al menos para la parte WiFi hay un esfuerzo de ingeniería inversa y crear una MAC open source para librarse del blob binario oficial: esp32-open-mac.be

🗨️ 1
Idinajui

Básicamente esa es mi fuente si. 😋

Es más, parece que de lo que se queja esta “vulnerabilidad”, el que en el binario que se enlaza estáticamente con tu software y que implementa la capa Mac de Bluetooth y wifi, las funciones tengan información de debug, y puedas ver el paso de variables y nombres descriptivos en las funciones internas, no solo en el API. Es precísamente lo que los autores de la ingeniería inversa ensalzan como una gran ayuda para sus propósitos.

Aplicando una regla de tres, el código open source, que permite el uso RAW del silicio, sería de igual ayuda para implementar código malicioso.

Ah… el gran dilema de la seguridad. ¿Dónde ponemos el límite?

Creo que la única forma de evitar esto es no usar un sistema operativo como rtos que no implementa protección de acceso a funciones, e incluso así, si desarrollas un dispositivo en el que tu mismo incluyes el SO, no veo la forma de que no puedas saltártelo escribiendo el código malicioso en el nivel 0 o -1 (kernel o bios para los linuxeros como yo) Aunque uses arquitecturas de procesador como ARM platform security, si tu distribuyes todo, tienes acceso a todo.

Lo único que se me ocurre es que esas funciones de bajo nivel estuvieran en un micro-código en el silicio, aisladas del SO. El licenciador del silicio tendría que implementarlas para la arquitectura del core que el licenciado tenga que poner al lado o incluir un core dedicado a estos menesteres. Ahora es código c y el licenciado puede usarlo como expressif en sus cores Xtensa o en sus cores RiscV. Pero eso restaría cualquier posibilidad de implementar estándares adicionales, y encarecería el silicio, que es por lo que estos dispositivos son tan baratos.

bronx

Apenas han dado información de cómo se explota esa supuesta vulnerabilidad.

En principio entiendo que hace falta acceso físico al dispositivo, pero si es así menuda vulnerabilidad… Si tienes acceso al puerto USB puedes programarlo para hacer lo que quieras.

Eso no parece un backdoor.

Además el artículo de tarlogic, que es la empresa detrás de este descubrimiento, habla fundamentalmente de su software de seguridad, después de arrancar con un titular "backdoor podría infectar millones de dispositivos".

Es de primero de clickbait.

Hasta que no publiquen detalles huele a jugada para darse a conocer.

🗨️ 2
lhacc

¿Cómo que no han dado información de cómo se explota, si en el artículo sale hasta un trozo de código?

🗨️ 1
bronx

Ya han recogido cable:

03/09/2025 Update:

We would like to clarify that it is more appropriate to refer to the presence of proprietary HCI commands—which allow operations such as reading and modifying memory in the ESP32 controller—as a “hidden feature” rather than a “backdoor.”

Que no es un backdoor vaya, lo que dije.

Y que no han dado detalles pues más de lo mismo, cito textualmente:

Over the coming weeks, we will publish further technical details on this matter.

Desde entonces han publicado otra una entrada más en el blog que en realidad habla de funcionalidad no documentada, y más que detalles técnicos de cómo explotar la vulnerabilidad hablan de lo bien que les viene esta funcionalidad oculta que además aclaran:

While this is not a remote Bluetooth vulnerability, these hidden firmware functionalities can be used to inject persistent code that carries out malicious activities on any device using the ESP32

Es decir que ni es un backdoor ni es una vulnerabilidad remota. No lo digo yo, lo dicen ellos mismos.

Pero ya da igual porque la gente y los medios se lo han comido con patatas. Ellos ya han conseguido la publi que buscaban.

dev-elizabeth
2

los autores ya han rectificado su nota de prensa eliminando menciones a que sea una "backdoor", ya que no lo es

D4v3

Es chinorris, ¿qué esperabas: no estar conectado a Xinet?

Prefiero estar conectado a Pentagonet.