3 puan yazan GN⁺ 2025-03-09 | 1 yorum | WhatsApp'ta paylaş
  • IoT cihazlarında yaygın olarak kullanılan ESP32'de, açık belgelerde yer almayan Bluetooth komutları bulundu; çipin 2023 itibarıyla 1 milyardan fazla cihaza girmiş olması nedeniyle etki alanı geniş
  • Tarlogic Security, RootedCON'da ESP32 Bluetooth firmware'ine ait 29 vendor-specific command açıkladı ve RAM·Flash okuma/yazma ile MAC adresi spoofing'i ve LMP/LLCP paket enjeksiyonu olasılığına dikkat çekti
  • Bu komutlar, güvenilir cihaz kılığına girme, yetkisiz veri erişimi, ağ içinde yanal hareket ve uzun süreli kalıcılık elde etmeye yol açabilir; konu CVE-2025-27840 olarak izleniyor
  • Gerçek uzaktan kötüye kullanım olasılığı, cihazın Bluetooth stack'inin HCI komutlarını nasıl işlediğine bağlı; kötü amaçlı firmware, kötü amaçlı güncellemeler veya önceden elde edilmiş root erişimi olduğunda daha ilgili hale geliyor
  • Espressif, bunların dahili test için kullanılan debug komutları olduğunu ve tek başına ESP32 için bir güvenlik riski oluşturamayacağını söyledi; ancak gelecekteki yazılım güncellemelerinde belgelenmemiş komutları kaldırmayı planlıyor

ESP32'de kalan belgelenmemiş Bluetooth komutları

  • Çinli üretici Espressif'in ESP32 mikroçipinde, açık belgelerde yer almayan Bluetooth komutları bulunuyor
  • ESP32, IoT cihazlarına Wi-Fi ve Bluetooth bağlantısı sağlayan bir mikrodenetleyicidir ve 2023 itibarıyla 1 milyardan fazla cihazda kullanılmaktadır
  • Bulunan komutlar şu eylemler için kullanılabilir
    • Güvenilir bir cihaz gibi görünmek için spoofing
    • Yetkisiz veri erişimi
    • Ağ içindeki başka cihazlara geçiş
    • Uzun süreli kalıcılık sağlama olasılığı

Tarlogic'in bulgusu ve araştırma aracı

  • İspanya merkezli Tarlogic Security'den Miguel Tarascó Acuña ve Antonio Vázquez Blanco, araştırma sonuçlarını Madrid'deki RootedCON'da sundu
  • Araştırmacılar, Bluetooth güvenlik araştırmalarına ilginin azaldığını ancak bunun protokolün veya implementasyonların daha güvenli hale gelmesinden kaynaklanmadığını düşünüyor
  • Son dönemde yayımlanan birçok saldırı, çalışan araçların olmaması, genel amaçlı donanımda çalışmaması veya eski ve bakımı yapılmayan araçlara dayanması nedeniyle modern sistemlerle iyi uyum sağlamıyordu
  • Tarlogic, C tabanlı yeni bir USB Bluetooth driver geliştirdi
    • Donanımdan bağımsız ve cross-platform çalışıyor
    • OS'ye özgü API'lere bağlı kalmadan donanıma doğrudan erişebiliyor
    • Bluetooth trafiğine ham erişim sağlıyor

Komutların sağladığı düşük seviye kontrol

  • ESP32 Bluetooth firmware'inde gizli vendor-specific command'ların bulunduğu doğrulandı
    • Opcode değeri 0x3F
    • Bluetooth işlevlerini düşük seviyede kontrol etmeyi mümkün kılıyor
  • Bulunan belgelenmemiş komutların toplam sayısı 29
  • Başlıca yetenekler şunlarla ilgili
    • RAM ve Flash üzerinde bellek manipülasyonu
    • MAC adresi spoofing'i ile cihaz taklidi
    • LMP/LLCP paket enjeksiyonu
  • Espressif bu komutları açıkça belgelemediği için, erişilebilir olmalarının amaçlanmadığı ya da yanlışlıkla bırakılmış olabilecekleri düşünülüyor
  • Bu sorun CVE-2025-27840 olarak izleniyor

Saldırı olasılığı ve gerçekçi kısıtlar

  • Araştırmacılar, bu komutların OEM düzeyinde kötü amaçlı implementasyonlara veya tedarik zinciri saldırısı riskine yol açabileceğini düşünüyor
  • Uzaktan kötüye kullanım olasılığı, cihazın Bluetooth stack'inin HCI komutlarını ele alma biçimine göre değişiyor
  • Şu koşullarda uzaktan kötüye kullanım olasılığı artabilir
    • Saldırganın zaten root erişimi elde etmiş olması
    • Cihaza kötü amaçlı yazılım bulaşmış olması
    • Düşük seviyeli erişimi açan kötü amaçlı bir güncellemenin dağıtılmış olması
    • Kötü amaçlı firmware veya rogue Bluetooth bağlantılarının devrede olması
  • Genel olarak, cihazın USB veya UART arayüzlerine fiziksel erişim daha gerçekçi saldırı senaryosu olarak görülüyor
  • Tarlogic'e göre ESP32 içeren bir IoT cihazı ele geçirilirse, saldırgan ESP belleği içine APT gizleyebilir, cihazı Wi-Fi/Bluetooth üzerinden kontrol edebilir ve başka cihazlara karşı Bluetooth veya Wi-Fi saldırıları gerçekleştirebilir
  • RAM ve Flash'ı değiştirebilen komutlar, ESP32 çipinin tamamen kontrol edilmesine ve çip düzeyinde kalıcılık elde edilmesine yol açabilir

Espressif'in açıklaması ve düzeltme planı

  • BleepingComputer başlangıçta Espressif'ten görüş istedi ancak hemen yanıt alamadı
  • Daha sonra Espressif, Tarlogic'in bulgularına ilişkin resmi tutumunu açıkladı
  • Şirket, bulunan işlevlerin dahili test amaçlı debug komutları olduğunu belirtti
    • Bu komutlar, Bluetooth teknolojisinde kullanılan HCI (Host Controller Interface) protokol implementasyonunun bir parçası
    • HCI, ürün içinde Bluetooth katmanları arasındaki iletişim için kullanılıyor
  • Espressif, debug komutlarının varlığının tek başına ESP32 çipinde bir güvenlik riski oluşturamayacağını düşünüyor
  • Bununla birlikte, belgelenmemiş komutları kaldıran bir yazılım düzeltmesi sunmayı planlıyor

Terim düzeltmesi ve makale güncellemeleri

  • 9 Mart 2025 güncellemesinde, belgelenmemiş komutları “backdoor” olarak adlandırmaya yönelik kaygılar yansıtılarak başlık ve gövde metni revize edildi
  • 8 Mart 2025'te Tarlogic'in görüşü eklendi
  • 9 Mart 2025'te CVE kimliği eklendi
  • 10 Mart 2025'te Espressif'in resmi açıklaması eklendi

1 yorum

 
GN⁺ 2025-03-09
Hacker News yorumları
  • Başlığın biraz yanıltıcı olduğunu düşünüyorum. Doğru okuduysam burada sözü edilen arka kapı, bilgisayarın kendi USB Bluetooth adaptörünün belleğini ve düşük seviyeli işlevlerini okuyup yazmasına izin veren şey
    Bunun kablosuz olarak kötüye kullanılabilir gibi görünmüyor. Böyle belgelenmemiş hata ayıklama komutları yaygındır; WiFi adaptörlerinde ve GPS alıcılarında da benzer işlevler gördüm. Çip firmware’ini ya da üretici sürücüsünü tersine mühendislikle bulmuşlar, sadece belgelenmemiş; kendi başına büyük etkisi olan bir sorun değil. İmzasız firmware’e izin veriyorsa aynı şekilde zayıftır
    Eğer host dışındaki bir yerden kullanılabiliyorsa bu tamamen başka bir hikâye olur

    • Açık donanım açısından bu tür kışkırtıcı başlıklar gerçekten zararlı. Hata ayıklama arayüzleri ve firmware güncellemelerine “arka kapı” ve “güvenlik açığı” derseniz doğal tepki her şeyi kilitlemek olur
      Espressif bu alanda neredeyse istisnai derecede açıktı. Kendi çipleri için açık kaynak Rust toolchain’ine katkıda bulundu ve lisanslı kod nedeniyle açamadığı modem stack’i için açıkça tersine mühendisliği teşvik etti. Azıcık bile açık davranmanın karşılığının kötü ve zararlı tanıtım olmasından hoşlanmıyorum
    • HCI komutları, ek kusurlar olmadan uzaktan erişilebilir değildir. Makaledeki kilit cümle şu:
      “Cihazdaki Bluetooth stack’inin HCI komutlarını işleme biçimine bağlı olarak, kötü amaçlı firmware ya da kötü amaçlı Bluetooth bağlantısı üzerinden arka kapının uzaktan kötüye kullanılması mümkün olabilir.”
      Kısacası güvenli bir sürücü stack’iniz varsa ve tüm yerel koda güveniyorsanız HCI vendor extension’ları sorun değildir
      Ancak HCI extension’ları kolayca güvenlik deliğine dönüşebilir. Sorun, HCI’ın saldırganın kontrol ettiği girdiyi karmaşık bir arayüz ve zorlayıcı parsing ile birleştirmesi. Birkaç yıl önceki BleedingTooth zafiyetinin gösterdiği gibi hata yapmak kolay
      Böyle bir işlevin olması başka zafiyetlerden pivot etmeyi de kolaylaştırır, ama çoğu sistemde bu zaten düşük asılı meyveye yakındır
      [0] https://google.github.io/security-research/pocs/linux/bleedi...
    • Ya kendi Bluetooth adaptörünün belleğini okuyup yazan bilgisayar bunu Web Bluetooth API üzerinde çalışan yazılımla yapabiliyorsa? Umarım o kadar kötü değildir; ama öyleyse önceki açıklamayla ürkütücü biçimde örtüşüyor
      Web API’nin en kötü durumunu bir kenara bıraksak bile, yarı güvendiğiniz bir yazılımı riskten kaçınmak için iç içe 3 VM içinde çalıştırdığınızı varsayalım. Bu yazılım Bluetooth erişimine ihtiyaç duyduğuna dair makul bir gerekçe sunuyor ve siz istisnaya izin veriyorsunuz. Sonuçtan hoşlanmayıp yazılımı siliyor ve üç VM katmanını da sıfırlıyorsunuz. Bitmiş gibi görünüyor, ama erişim izni varken kötü amaçlı yazılımın ESP’ye kurduğu şey hâlâ kalmış olabilir
      Kendi alt cihazlarınıza yönelik belgelenmemiş erişim, özellikle kalıcılık işin içine girince gerçekten kötü sonuçlar doğurabilir
    • Başka bir exploit ile zaten erişim elde etmiş bir saldırgan için oldukça kullanışlı olabilir gibi görünüyor
      ESP32’nin bağımsız bir SoC değil de host sisteme seri bağlantıyla bağlanan bir WiFi/Bluetooth “modem”i olarak kullanıldığı durumu düşünebiliriz
      Teoride saldırgan, belgelenmemiş komutlarla yakındaki Bluetooth cihazlarını tarayabilir, spoof edebilir ya da saldırabilir. Belki ESP32’yi barındıran cihazda root yetkisi almadan bile mümkün olabilir
    • Okuyunca gerçekten önemsiz bir şeyin fazlasıyla şişirildiği hissine kapıldım
      OS içinde root yetkisiyle disk sürücüsü firmware’ini yeniden yazabildiğini öğrenince şaşıracaksın herhalde
  • Araştırmacıların bulduğu şey, zaten kod çalıştırma yetkisi olan birinin ESP32 WiFi stack’ine beklenenden daha derin düşük seviyeli erişim elde etmesini sağlayan belgelenmemiş bir donanım işlevi
    Buna “arka kapı” demek düpedüz clickbait

  • Kafam karıştı. Bluetooth stack’inde belgelenmemiş birkaç komut olduğu mu söyleniyor? Eğer yalnızca cihazda hâlihazırda çalışan kod erişebiliyorsa buna arka kapı demek zor görünüyor

    • “Cihazdaki Bluetooth stack’inin HCI komutlarını işleme biçimine bağlı olarak, kötü amaçlı firmware ya da kötü amaçlı Bluetooth bağlantısı üzerinden arka kapının uzaktan kötüye kullanılması mümkün olabilir.”
      Bu bana uzaktan kod çalıştırma gibi gelmiyor
    • Katılıyorum. Oldukça yaygın bir durum ve firmware güncellemesinden daha kötü de değil. Ancak olası tuzak şu: bant içi hata ayıklama, firmware güncellemesinden beklediğimizle aynı host yetkilerini gerektirmeyebilir
      Bu yüzden bir kullanıcı alanı programının, daha kötüsü bir WebBLE programının adaptöre kalıcı bir kötü amaçlı payload ekleme ihtimali var. Sürücü değiştirildikten sonra bile kalan bir izleme beacon’ı korkutucu, ama uzaktan kod çalıştırma değil
  • Teoride bağlı Bluetooth radyo çipinin kendisine düşük seviyeli erişimin olması gerekir; bu bir ölçüde beklenen bir şey değil mi diye düşünüyorum
    Böyle düşük seviyeli arayüzleri olan cihazlar daha iyi. Sorun varlığı değil, belgelendirme eksikliği olabilir
    Eskiden Qualcomm radyo çiplerinde USB üzerinden bellek okuma/yazma komutlarıyla kilitli cihazların kilidini açıp sahipliğini alırdık. Tamamen bant dışı okuma/yazmaydı, bu yüzden pek iyi olmayabilir; ama buna yalnızca flash’lanmış koddan erişilebiliyorsa aslında daha iyi sayılır

  • İspanyolca slaytlar: https://www.documentcloud.org/documents/25554812-2025-rooted...

  • Özetle, firmware’i tersine mühendislikle inceleyip bellek okuma/yazma, paket gönderme, MAC adresi ayarlama gibi işler yapan HCI komutları bulmuşlar.
    Bu pek de bir arka kapı değil. Bunu araştırmacılar mı böyle adlandırdı, sunum İspanyolca olduğu için bilmiyorum; yoksa gazeteciler daha fazla tık almak için mi arka kapı diyor, onu da bilmiyorum.
    Bu komutları kullanmak için cihaza HCI komutları gönderebilecek rastgele erişim yetkisine ihtiyaç var. Yani zaten cihazı ve çalışma biçimini kontrol ediyorsunuz demek. Kablosuz bağlantı üzerinden uzaktan istismar edilen bir şey değil. Herhangi bir exploit için zaten cihazın tamamı üzerinde kontrolünüz olması gerekiyor; o noktada MAC adresini değiştirme veya paket gönderme işlevi şaşırtıcı değil.
    İlginç bir araştırma ama “arka kapı” diye paketlenmesi gerçekten heves kaçırıcı. Bu ifadeden kimin sorumlu olduğunu bilmiyorum ama muhtemelen gazetecilerdir.
    Daha tanıdık bir benzetmeyle, yaygın bir IoT çipinin Ethernet denetleyicisinin firmware talimatlarıyla MAC adresini değiştirebildiğini veya rastgele paket gönderebildiğini keşfettiğinizi düşünün. Tek fark bunun Bluetooth olması; konu aynı.

    • Araştırmacıların kendisi buna arka kapı diyor. Web sitesindeki İngilizce duyuru:
      https://www.tarlogic.com/news/backdoor-esp32-chip-infect-ot-...
    • MAC adresi ayarlamayla ilgili ilginç bir gerçek: İnternette satılan çok ucuz USB Bluetooth adaptörlerinin önemli bir kısmı aynı MAC adresine sahip. Muhtemelen bunu benzersiz bir değerle değiştirme zahmetine girmemişler.
      Bu yüzden https://macaddresschanger.com/ gibi Windows araçları ve Linux’taki bdaddr var. Çoğu CSR tasarımının klonu gibi görünüyor ve adresi ayarlama komutu da iyi biliniyor. https://sources.debian.org/src/bluez/5.55-3.1%2Bdeb11u1/tool...
    • Ethernet kablosu takılı herhangi bir cihaz MAC adresini değiştirebiliyor ve rastgele paket gönderebiliyorsa, bunun başlı başına solucan gibi yayılabilen bir tehdit aktörü olabileceğini görmüyor musunuz?
      Üstelik burada Ethernet kablosu gereksinimi de ortadan kalkmış oluyor.
      Üzerinde “Free Candy / BLE Persistent Threats” yazan beyaz bir minibüsle dolaşıp, Çin’e giderken metal dedektöründen geçerken cihazları yağmalayabilirsiniz.
      Kablosuz, solucan gibi yayılabiliyor, rastgele paket gönderebiliyor ve rastgele cihazları spoof edebiliyor; buna rağmen sorun görmüyor musunuz?
  • Bu tür sansasyonel haberlerden nefret ediyorum. Şimdi Espressif’in daha kapalı olmaya gitmesi gerektiği yönünde baskı hissedeceğini düşünüyorum.

    • Bu belgelenmiş olsaydı baştan sorun olmazdı.
  • Masaüstü ve dizüstü bilgisayarlara çekirdek alanında çalışan opak binary blob sürücülerini hiç düşünmeden kuruyoruz; bulutun kontrol ettiği kendi telefonumuzda root erişimimiz bile yok. Ama zaten cihazın ele geçirilmiş olmasını gerektiren birkaç belgelenmemiş ESP32 düşük seviye komutu, haber değeri taşıyan bir tehdit vektörü oluyor.
    Çeviri sürecinde bir şey mi kaçırıldı gerçekten merak ediyorum. Eskiden olsa bunu sadece havalı bulur ve yazılım tanımlı radyoya dönüştürmenin yolunu arardık.

    • Birileri yine abartılı hype üzerinden geçiniyor. Konudan anlamayan kitleyi korkutup tersine mühendislik topluluğuna zarar veriyor.
  • Araştırmanın kendisi iyi ama başlık kötü. Saldırı vektörü olarak bakıldığında fiziksel erişim gerekiyor ve neredeyse her durumda aynı şey başka yöntemlerle de zaten yapılabilir.
    “Yaygın Bluetooth çipinde belgelenmemiş komutlar bulundu” gibi bir başlık daha iyi olurdu.

    • Donanım hackleme açısından ilginç olabilir. Mevcut donanımdan ek işlevler çıkarmanın meşru bir yolu gibi görünüyor.
  • Bu başlık yalan. Bluetooth çipinde arka kapı deniyorsa, kablosuz bir saldırganın çipte kod çalıştırma elde etmesini sağlaması gerekir.
    Bu makale, bağlı cihazın aygıt sürücüsünün çipte kod çalıştırma elde edebilmesini konu ediyor; bu da bir güvenlik sınırını ihlal etmiyor.
    Düzgün işleyen bir medya ekosisteminde düzeltme haberi gerekir ve makaleyi yazan yayın organının itibarına da büyük darbe indirmesi gerekirdi. Ne yazık ki böyle bir şey olmayacak.