ESP32

更新3/9/25:これらの文書化されていないコマンドを指すのに、『バックドア』という用語が使用されていることについての懸念を受け、タイトルと記事を更新しました。元の記事はこちら

中国のメーカーEspressifが製造し、2023年時点で10億個以上が使用しているユビキタスマイクロチップESP32には、攻撃に悪用される可能性のある文書化されていないコマンドが含まれています。

文書化されていないコマンドは、信頼されたデバイスのなりすまし、不正なデータアクセス、ネットワーク上の他のデバイスへのピボット、長期的な永続性の確立を可能にする可能性がある。

これはスペインの研究者であるTarlogic Security社のMiguel Tarascó Acuña氏とAntonio Vázquez Blanco氏によって発見されたもので、昨日マドリッドで開催されたRootedCONで 発表された

「Tarlogicセキュリティは、WiFiとBluetooth接続を可能にし、何百万もの大衆市場IoTデバイスに存在するマイクロコントローラであるESP32にバックドアを検出した。

「このバックドアを悪用することで、敵対的な行為者はなりすまし攻撃を行い、コード監査コントロールをバイパスすることで、携帯電話、コンピュータ、スマートロック、医療機器などの機密性の高いデバイスに永続的に感染することが可能になる。

研究者は、ESP32はIoT(モノのインターネット)機器のWi-Fi + Bluetooth接続用として世界で最も広く使用されているチップの1つであるため、リスクは大きいと警告している。

Slide from the RootedCON presentation
RootedCON プレゼンテーションのスライド
ソースはこちら:Tarlogic

ESP32の文書化されていないコマンドの発見

RootedCONのプレゼンテーションの中で、Tarlogic社の研究者たちは、Bluetoothのセキュリティ研究に対する関心が薄れているが、それはプロトコルやその実装がより安全になったからではないと説明した。

それどころか、昨年発表されたほとんどの攻撃は、実用的なツールを持たず、一般的なハードウェアでは動作せず、最新のシステムとはほとんど互換性のない、時代遅れでメンテナンスされていないツールを使用していた。

Tarlogicは、ハードウェアに依存しないクロスプラットフォームの新しいCベースのUSB Bluetoothドライバを開発し、OS固有のAPIに依存することなくハードウェアへの直接アクセスを可能にした。

Bluetoothトラフィックへの生アクセスを可能にするこの新しいツールで武装したTarlogicは、Bluetooth機能の低レベル制御を可能にするESP32 Bluetoothファームウェアの隠れたベンダー固有コマンド(オペコード0x3F)を発見した。

ESP32 memory map
ESP32 メモリマップ
ソースはこちら:Tarlogic

合計で 29 の文書化されていないコマンドを発見し、これらは総称して “バックドア “と呼ばれ、メモリ操作(RAM と Flash の読み書き)、MAC アドレス・スプーフィング(デバイスのなりすまし)、LMP/LLCP パケット・インジェクションに使用される可能性がある。

Espressifは、これらのコマンドを公的に文書化していないため、アクセス可能であることを意図していなかったか、誤って残ってしまったかのどちらかである。この問題は現在CVE-2025-27840 で追跡されています。

Script that issues HCI commands
HCI コマンドを発行するスクリプト
Source:Tarlogic

これらのコマンドに起因するリスクには、OEMレベルでの悪意のある実装やサプライチェーン攻撃が含まれる。

Bluetooth スタックがデバイス上でどのように HCI コマンドを処理するかによって、悪意のあるファームウェアや 不正な Bluetooth 接続を介してコマンドのリモート利用が可能になる可能性があります。

これは、攻撃者が既にルート・アクセスを持っていたり、マルウェアを仕込んでいたり、デバイスに悪意のあるアップデートをプッシュして低レベルのアクセスを開放している場合に特に当てはまります。

しかし、一般的には、デバイスのUSBまたはUARTインターフェースへの物理的なアクセスの方がはるかにリスクが高く、より現実的な攻撃シナリオとなるでしょう。

「ESP32のようなIoTデバイスを危険にさらすことができる状況では、APTをESPのメモリ内に隠し、Wi-Fi/Bluetooth経由でデバイスを制御しながら、他のデバイスに対してBluetooth(またはWi-Fi)攻撃を実行することができます」と研究者は説明した。

“我々の発見は、ESP32チップを完全に制御し、RAMとFlashの変更を可能にするコマンドを介してチップ内の永続性を得ることを可能にするだろう” 。

“また、チップ内の永続性により、ESP32は高度なBluetooth攻撃を実行することができますので、それは他のデバイスに拡散することが可能である可能性があります。”

はEspressif社に研究者の調査結果に関する声明を求めたが、コメントはすぐに得られなかった。

更新 3/8/25: Tarlogic 社の声明を追加。

更新 3/9/25: CVE-ID を追加。