Die billigen WLAN- und Bluetooth-Chips des Herstellers Espressif, ESP32, enthalten in aktuellen Firmware-Versionen undokumentierte Befehle in der Bluetooth-Hardware-Kommunikation. Dies reißt eine Sicherheitslücke auf, durch die Angreifer sich einnisten können, sagen die Entdecker der Lücke. Die ist jedoch nicht so gravierend, wie sie zunächst den Anschein erweckt – obwohl Milliarden von ESP32-ICs bereits in freier Wildbahn ihren Dienst verrichten, etwa in smarten Steckdosen, Heizungsregler und ähnlichen praktischen Geräten.
Anzeige
Die Schwachstellenbeschreibung lautet konkret: Espressif ESP32-ICs enthalten 29 versteckte Bluetooth-HCl-Befehle, etwa "0xFC02" – "Schreibe Speicher" (CVE-2025-27840, CVSS 6.8, Risiko "mittel"). Durch die undokumentierten Befehle können Angreifer Speicher und sogar am Ende Flash manipulieren und so die komplette Kontrolle übernehmen.
Das Bluetooth Host-Controller-Interface (HCI) definiert die Kommunikation zwischen Bluetooth-IC und Host-System, wie der Name bereits andeutet. Es ist also nicht direkt Over-the-air, etwa über Bluetooth-Funk, erreichbar. Es handelt sich um Kommunikation, die klassischerweise über UART- oder SPI-Protokolle zwischen Host-System und Bluetooth-Controller läuft.
Die Entdecker haben den Fund auf der spanischen IT-Sicherheitskonferenz rootedcon vorgestellt. Sie erklärten dort, dass sich mit diesen Befehlen unter anderem MAC-Adressen spoofen lassen, sodass sich Geräte als andere Bluetooth-Gegenstellen ausgeben und so etwa mit Smartphones verbinden können. Unbefugter Zugriff auf Daten sei so denkbar. Durch die möglichen Schreibzugriffe ist zudem ein dauerhaftes Einnisten denkbar. Allerdings gelingt dies alles nur dann, wenn zuvor bereits Zugriff auf ein Gerät mit verwundbarem ESP32-IC möglich ist: Etwa, wenn Zugang mit Root-Rechten erfolgte, damit Malware installiert oder eine bösartig modifizierte Firmware aufgespielt wurde. Damit sind aber bereits diese und weiterreichende bösartige Aktionen möglich.
Auf X hat der IT-Sicherheitsforscher Pascal Gujer die alarmierenden Berichte bereits eingeordnet: "Backdoor in ESP32? Nicht so schnell. Ja, versteckte HCI-Befehle erlauben tiefgreifenden Zugang zu Speicher, Flash und Bluetooth-Innereien. Aber: Nicht aus der Ferne mit Bluetooth missbrauchbar, keine Over-The-Air-Attacke (OTA), benötigt 'kabelgebundenen' HCI-Zugriff, und erfordert erhöhte Rechte auf dem Controller. Es handelt sich um ein Post-Exploitation-Werkzeug, es ist kein 'Sofort-Game-Over'. Wenn ein Angreifer bereits Kontrolle über ein Host-Gerät hat, bist du ohnehin schon gar."
Abhilfe könnte aktualisierte Firmware schaffen. Espressif bietet OEMs Firmware-Quelltexte an. Etwa die sogenannten AT-Firmwares, die auch für Bastler frei im Netz erhältlich sind. Damit ist es aber auch möglich, aktualisierte Firmwares zu erstellen, die auf betroffene Geräte verteilt werden müssten. Hier ist, wie bei IoT-Geräten üblich, jedoch mit Problemen zu rechnen – viele Hersteller bieten keine Firmware-Updates an. Die Installation kann sich in vielen Einsatzszenarien ebenfalls als schwierig erweisen. Wer ESP32-basierte IoT-Geräte einsetzt, sollte daher die Hersteller-Webseiten im Blick haben für mögliche Updates; gegebenenfalls hilft auch eine Anfrage beim Hersteller, ob und wann dieser Aktualisierungen bereitstellt.