Skrytá, nezdokumentovaná funkcionalita v čipoch ESP32

Národné centrum kybernetickej bezpečnosti upozorňuje na nezdokumentovanú funkcionalitu čipov ESP32, ktoré sa celosvetovo používajú vo viac ako miliarde zariadení.

Čipy ESP32 poskytujú Bluetooth a WiFi konektivitu pre inteligentné zariadenia najrozličnejšieho typu vrátane termostatov, mobilných telefónov a laptopov, herných konzol, športových náramkov, inteligentných svietidiel,monitorovacích a riadiacich systémov a množstva ďalších zariadení.

Nezdokumentovaná funkcionalita, ktorú odhalili bezpečnostní výskumníci, umožňuje čítanie a zápis pamäti RAM aj Flash, zmeny MAC adries a priamy prístup k prenosovej vrstve. To môže viesť k deštrukcii alebo permanentnému ovládnutiu postihnutého zariadenia alebo k viacerým triedam lokálnych sieťových útokov.

Na zneužitie funkcionality je však potrebné, aby útočník mohol spustiť kód buď priamo na ESP32 alebo na pripojenom CPU, ktoré ESP32 využíva. Nie je možné ju zneužiť bezdrôtovo pomocou Bluetooth komunikácie. Preto je na plné ovládnutie zariadenia potrebný buď fyzický prístup k zariadeniu, alebo ďalšia nezávislá zraniteľnosť, ktorá by útočníkovi umožnila tieto špeciálne funkcie zneužiť.

Bezpečnostná komunita v súčasnosti diskutuje, či sa jedná o zadné vrátka, či o zraniteľnosť alebo len o nezdokumentovanú funkcionalitu. V tejto debate sa prikláňame k názoru, že ide minimálne o bezpečnostné riziko. V minulosti bola identifikovaná podobná funkcionalita aj v produktoch iných výrobcov a bola úspešne zneužitá v rámci prienikov, napr. pri demonštrácii bezpečnostých zraniteľností Tesla Model 3 (2023) alebo pri útoku Spectra (2020).

Odporúčania

Odporúčania pre túto situáciu patria do kategórie osvedčených všeobecných odporúčaní a postupov, ktoré sú súčasťou dobrej „kybernetickej hygieny“:

• nielen na počítačoch, aj na IoT zariadeniach (vrátane domácich a osobných zariadení) aplikujte všetky bezpečnostné záplaty
• ak nemusíte smart zariadenie pripojiť do Internetu, používajte ho odpojené
• v prípade zariadení, ktoré musia byť dostupné z Internetu (napr. IP kamery) obmedzte zoznam povolených IP adries na firewalli
• v prípade zariadení, pripojených na domácu WiFi sieť, využite funkciu „izolácie klientov“ – nastavte wifi tak, aby jednotlivé pripojené zariadenia nemohli komunikovať navzájom, ale len do Internetu
• odporúčame tiež sledovať stránky výrobcov a zariadenia po uplynutí doby životnosti (End of Life) alebo podpory (End of Support) nahradiť zariadeniami, pre ktoré výrobca garantuje bezpečnostné aktualizácie.

Odkazy

• https://www.cve.org/CVERecord?id=CVE-2025-27840
• https://www.tarlogic.com/news/backdoor-esp32-chip-infect-ot-devices
• https://darkmentor.com/blog/esp32_non-backdoor/

« Späť na zoznam