A kínai Espressif által gyártott, mindenütt jelenlévő ESP32 mikrochip, amelyet több mint egymilliárd készülék használ, tartalmaz egy dokumentálatlan hátsó ajtót, amelyet támadásokhoz lehet felhasználni.
A dokumentálatlan parancsok lehetővé teszik a megbízható eszközök meghamisítását, a jogosulatlan adathozzáférést, a hálózaton lévő más eszközökre való átfordulást, és potenciálisan hosszú távú perzisztencia létrehozását, azaz képes rejtve maradni és túléli az újraindítást is. A hátsó ajtót Miguel Tarascó Acuna és Antonio Vázquez Blanco, a Tarlogic Security spanyol kutatói fedezték fel, akik a madridi RootedCON-on mutatták be eredményeiket.
„A Tarlogic Security egy hátsó ajtót fedezett fel az ESP32-ben, egy olyan mikrokontrollerben, amely lehetővé teszi a wifi és Bluetooth kapcsolatot, és amely több millió tömegpiaci IoT-eszközben van jelen. Ennek a hátsó ajtónak a kihasználása lehetővé tenné az ellenséges szereplők számára, hogy megszemélyesítő támadásokat hajtsanak végre, és a kódellenőrzés ellenőrzésének megkerülésével tartósan megfertőzzék az olyan érzékeny eszközöket, mint a mobiltelefonok, számítógépek, intelligens zárak vagy orvosi berendezések” — írja a BleepingComputer a Tarlogic közleményére hivatkozva. A kutatók arra figyelmeztettek, hogy az ESP32 a világ egyik legszélesebb körben használt chipje az IoT (Internet of Things) eszközök wifi és/vagy Bluetooth kapcsolatához.
A hátsó ajtó felfedezése az ESP32-ben
RootedCON előadásukban a Tarlogic kutatói kifejtették, hogy a Bluetooth biztonsági kutatások iránti érdeklődés csökkent, de nem azért, mert a protokoll vagy annak megvalósítása biztonságosabbá vált. A tavaly bemutatott támadások többsége csak elavult/karbantartatlan eszközökkel működött, amelyek nagyrészt nem kompatibilisek a modern rendszerekkel. A Tarlogic egy új, C-alapú USB Bluetooth-illesztőprogramot fejlesztett ki, amely hardverfüggetlen és platformokon átívelő, így közvetlen hozzáférést biztosít a hardverhez anélkül, hogy az operációs rendszer-specifikus API-kra támaszkodna.
Ezzel az új eszközzel felfegyverkezve, amely lehetővé teszi a Bluetooth-forgalom nyers hozzáférését, a Tarlogic felfedezte az ESP32 Bluetooth firmware-ében a rejtett gyártóspecifikus parancsokat (Opcode 0x3F), amelyek lehetővé teszik a Bluetooth-funkciók alacsony szintű vezérlését. Összesen 29 dokumentálatlan parancsot találtak, amelyeket együttesen „backdoor”-ként jellemeztek, és amelyek memóriamanipulációra (RAM és Flash olvasása/írása), MAC-cím meghamisítására (eszköz megszemélyesítése) és LMP/LLCP csomagok bejuttatására használhatók. A kínai gyártó nem dokumentálta nyilvánosan ezeket a parancsokat, így vagy nem akarták, hogy hozzáférhetőek legyenek, vagy véletlenül hagyták őket.
„Egy olyan környezetben, ahol kompromittálható egy IoT-eszköz, mint az ESP32, képes leszel elrejteni egy APT-t az ESP memóriájába, és Bluetooth/wifi támadásokat hajtani végre más eszközök ellen, miközben a Bluetooth-on vagy a wifin keresztül irányítod az eszközt. Eredményeink lehetővé tennék az ESP32 chipek feletti teljes irányítás átvételét, és a RAM és Flash módosítását lehetővé tevő parancsokon keresztül a chipben való fennmaradást. Emellett a chipben való perzisztenciával lehetséges lehet más eszközökre is átterjedni, mivel az ESP32 lehetővé teszi fejlett Bluetooth-támadások végrehajtását” — nyilatkozták a kutatók.
A BleepingComputer megkereste az Espressifet a kutatók megállapításaival kapcsolatban, de a kínai gyártó egyelőre nem nyilatkozott.
English summary
|
