Новости Взлом банкоматов, падение дронов и кража криптокошельков. Как маленькая библиотека устроила проблемы всему миру

NewsMaker

I'm just a script
Премиум
28,042
46
8 Ноя 2022
В FatFs нашли семь уязвимостей для встраиваемых устройств.

<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
c60m034edp4ilb1m4mxwjfm4a4jk4zfb.jpg

Небольшая библиотека для работы с картами памяти и USB-накопителями оказалась общей точкой риска для целого класса устройств, после того как специалисты runZero раскрыли сразу семь уязвимостей в FatFs, которую используют во встраиваемом ПО и операционных системах реального времени.

Проблемы получили оценки от среднего до высокого уровня и затрагивают ESP-IDF, STM32Cube, Zephyr RTOS, MicroPython, ArduPilot, RT-Thread, Mbed, TizenRT и SWUpdate.

Библиотека FatFs разбирает разделы FAT, exFAT и GPT, поэтому ошибки срабатывают при подключении специально подготовленного носителя или обработке образа обновления.

В устройствах без рандомизации адресного пространства и защиты памяти краткий доступ к SD-карте или USB-порту может привести к захвату системы. В зоне риска находятся камеры, банкоматы, промышленные контроллеры, дроны, криптокошельки и другие устройства со съёмными носителями.

https://dbugs.ptsecurity.com/vulnerability/CVE-2026-6682?utm_source=Securitylab.ru

  1. CVE-2026-6682 (7.6 по CVSS 3.1, AV:p/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H) вызывает целочисленное переполнение при подключении тома FAT32 и может привести к повреждению памяти и выполнению кода.
  2. CVE-2026-6687 (7.6 по CVSS 3.1, AV:p/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H) позволяет переполнить стек с помощью чрезмерно длинной метки тома exFAT.
  3. CVE-2026-6688 (7.6 по CVSS 3.1, AV:p/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H) затрагивает программы, которые копируют длинные имена файлов в буферы недостаточного размера.
  4. CVE-2026-6685 (6.1 по CVSS 3.1, AV:p/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H) из-за ошибки в вычислениях при работе с фрагментированными томами может повредить данные или вызвать обращение за пределы памяти.
  5. CVE-2026-6683 (4.6 по CVSS 3.1, AV:p/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H) провоцирует деление на ноль при записи exFAT, аварийно завершает работу устройства и способна сорвать обновление прошивки.
  6. CVE-2026-6686 (4.6 по CVSS 3.1, AV:p/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N) позволяет прочитать остатки ранее удалённых файлов.
  7. CVE-2026-6684 (4.6 по CVSS 3.1, AV:p/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H) заставляет версии до FatFs R0.16 чрезвычайно долго сканировать специально подготовленный GPT-раздел.

Авторы также связали CVE-2026-6682 и CVE-2026-6683 с некоторыми механизмами беспроводного обновления прошивок.

Проверку начали ещё в 2017 году, но ручной анализ и автоматическая подача необычных входных данных тогда не выявили серьёзных проблем. В марте 2026 года команда runZero вернулась к коду и с помощью GitHub Copilot собрала новый инструмент, который нашёл пропущенные ошибки и помог проверить их применимость в разных сценариях.

Разработчик FatFs не ответил на обращения, несмотря на подключение JPCERT/CC. runZero советует производителям проверить собственные копии библиотеки и программные обёртки, пересмотреть обработку имён и размеров файлов, а также подготовить обновления. Версии до FatFs R0.16 следует заменить из-за ошибки, позволяющей заблокировать систему длительным сканированием GPT-разделов.
 
Источник новости
www.securitylab.ru

Похожие темы