Šta se desilo?

Bezbednosna firma runZero je objavila sedam ranjivosti u FatFs-u, malenoj biblioteci za datotečne sisteme koja omogućava uređajima čitanje i pisanje FAT i exFAT formata koje koriste USB jedinice i SD kartice. Ozbiljnost problema leži u činjenici da je FatFs prisutan u firmware-u bezbednosnih kamera, dronova, industrijskih kontrolera, hardverskih novčanika za kriptovalute i mnogih drugih uređaja. U najgorim slučajevima, napadač koji ima pristup drilyovanoj USB jedinici ili SD kartici može da ošteti memoriju uređaja i izvršiti sopstveni kod.

Koga pogađa?

Rizik je širokorangiv - proizvodioci uređaja koji koriste FatFs preko različitih platformi kao što su Espressif ESP-IDF, STMicroelectronics STM32Cube, Zephyr, MicroPython, ArduPilot, RT-Thread, Mbed, Samsung TizenRT. U praksi to znači da su potencijalno ugroženi korisnici IoT uređaja, industrijskih sistema, dronova, hardverskih novčanika i drugih uređaja sa fizičkim portima za medijume. Posebno su ugroženi sistemi koji dozvoljavaju fizički pristup, kao što su bankomati, kiosk sistemi, zagrade sa USB portovima ili sistemi sa SD slotovima.

Kako se zaštititi?

  • Ograničite ko može da ubaci medijume u uređaje - sprečite neovlašćeni fizički pristup USB i SD slotovima
  • Pratite objavljivanja proizvođača o ažuriranjima firmware-a i primenite ih čim budu dostupna
  • Budi svestan da su fizički portovi i kanali za ažuriranje potencijalne površine napada
  • Ako razvijate firmware - identifikujte gde se FatFs koristi i identifikujte wrapper kod oko njega
  • Pregledajte kako vašu aplikacija rukuje imenima fajlova i veličinama fajlova

Tehnički detalji

Kritična ranjivost je CVE-2026-6682 (CVSS 7.6) - integer overflow u kodu koji montira FAT32 volume. Pogrešna matematika može da proizvede lažnu veličinu fajla što kasnije može da bude obrađeno kao validna dužina čitanja, što dovodi do oštećenja memorije i izvršavanja koda. Ostale ranjivosti su: CVE-2026-6687 (7.6) - buffer overflow u exFAT volume-label polju, CVE-2026-6688 (7.6) - overflow u wrapper kodu, CVE-2026-6685 (6.1) - math wrap u cache rukovanju, CVE-2026-6683 (4.6) - exFAT divide-by-zero koja može da izazove pad, CVE-2026-6686 (4.6) - curenje podataka iz obrisanih fajlova, CVE-2026-6684 (4.6) - malformed GPT partition table koja može da zapne uređaj. Samo poslednja ranjivost je ispravljena u FatFs R0.16. RunZero je objavila proof-of-concept disk slike i radni QEMU-bazirani primer eksploatacije.

Preporuka Sajber Radara

Proizvođači uređaja trebaju hitno da identifikuju FatFs u svojim proizvodima i planiraju zakrpe, dok korisnici trebaju da ograniče fizički pristup medijumima dok čekaju ažuriranja. Ovo je primer kako AI alati mogu da otkriju ranjivosti brže nego ručne provere, što znači da će i drugi napadači imati pristup istim otkrićima.