芯东西（公众号：aichip001）

编译 | ZeR0

编辑 | 漠影

芯东西3月10日消息，据Bleeping Computer报道，中国无线通信芯片公司乐鑫科技的ESP32微芯片被发现包含可用于攻击的未记录命令。未记录的命令允许欺骗受信任设备、未经授权的数据访问、转向网络上的其他设备，并可能建立长期持久性。ESP32是一个支持Wi-Fi和蓝牙连接的微控制器，截至2023年已被超过10亿台设备使用。

这是由Tarlogic Security的西班牙研究人员Miguel Tarascó Acuña和Antonio Vázquez Blanco发现的，他们在马德里的RootedCON上展示了这一发现。利用在ESP32中检测到的后门，恶意行为者可模拟攻击，绕过代码审计控制，永久感染手机、计算机、智能锁或医疗设备等敏感设备。BleepingComputer已联系乐鑫就这一发现发表声明，但没有立即得到置评。

研究人员警告说，ESP32是世界上物联网设备中Wi-Fi + 蓝牙连接使用最广泛的芯片之一，因此风险很大。

▲RootedCON演讲的幻灯片（来源：Tarlogic）

在RootedCON演讲期间，Tarlogic研究人员解释道，人们对蓝牙安全研究的兴趣已经减弱，但这并不是因为协议或其实现变得更加安全。相反，去年提出的大多数攻击都没有可用工具，不适用于通用硬件，并使用了与现代系统基本不兼容的过时/未维护的工具。

Tarlogic开发了一种新的基于C的USB蓝牙驱动程序。该驱动程序独立于硬件和跨平台，允许在不依赖操作系统特定API的情况下直接访问硬件。

借助这个可原始访问蓝牙流量的新工具，Tarlogic在ESP32蓝牙固件中发现了隐藏的供应商特定命令（操作码0x3F），这些命令支持对蓝牙功能进行低级控制。他们总共发现了29个未记录的命令，统称为“后门”，可用于内存操作（读/写RAM和Flash）、MAC地址欺骗（设备冒充）和LMP/LLCP数据包注入。

▲ESP32内存映射（来源：Tarlogic）

乐鑫没有公开记录这些命令，因此它们要么不应被访问，要么是被错误地留下的。这个问题现在在CVE-2025-27840下进行跟踪。

▲发出HCI命令的脚本（来源：Tarlogic）

这些命令产生的风险包括OEM级别的恶意实现和供应链攻击。根据蓝牙栈如何处理设备上的HCI命令，可能会通过恶意固件或恶意蓝牙连接远程利用这些命令。

如果攻击者已经拥有根访问权限，植入恶意软件或在打开低级访问的设备上推送恶意更新，情况尤其如此。

不过通常情况下，物理访问设备的USB或UART接口的风险要大得多，也是更现实的攻击场景。

“在使用ESP32攻击物联网设备的情况下，你可以将APT隐藏在ESP内存中，并通过Wi-Fi/蓝牙控制设备，对其他设备进行蓝牙（或Wi-Fi）攻击。”研究人员向BleepingComputer解释说，“我们的发现将允许完全控制ESP32芯片，并通过允许RAM和闪存修改的命令在芯片上获得持久性。”

此外，由于芯片的持久性，它可能会传播到其他设备，因为ESP32支持执行高级蓝牙攻击。

来源：Bleeping Computer