Tarlogic descubre comandos HCI sin documentar en el módulo ESP32 de Espressif

Investigadores de ciberseguridad de la empresa Tarlogic presentaron este pasado 6 de marzo en la conferencia RootedCON celebrada en Madrid, su solución para auditar dispositivos bluetooth. En este contexto, Tarlogic ha detectado 29 comandos no documentados por el fabricante Espressif en el módulo ESP32, un microcontrolador que permite la conexión wifi y bluetooth. El ESP32 es uno de los modelos más usados mundialmente en entornos de redes IoT (Internet de las cosas) y está presente en millones de dispositivos de gran consumo.

Este tipo de comandos específicos del fabricante, pueden utilizarse para leer/escribir memoria RAM y flash, así como para enviar algunos tipos de paquetes de bajo nivel que normalmente no se pueden enviar desde el propio Host, debido a las características propias de estos dispositivos bluetooth. La existencia de este tipo de comandos no presenta un riesgo para la seguridad por sí mismo, pero sí reflejan que existe una mala práctica por parte del fabricante, lo cual facilita que se comprometa la seguridad de estos dispositivos por parte de un actor malintencionado.

A pesar de que no existe riesgo alto, Espressif declaró que compartirá una actualización de software para permitir a los usuarios eliminar estos comandos de depuración.

El caso se ha registrado como la vulnerabilidad CVE-2025-27840.