FatF'lerdeki Yedi Hata IoT'yi ve Gömülü Cihazları Riske Atıyor Yazılım

FatF'lerdeki Yedi Hata IoT'yi ve Gömülü Cihazları Riske Atıyor

FatF'lerdeki Yedi Hata IoT'yi ve Gömülü Cihazları Riske Atıyor...

FatF'lerdeki Yedi Hata IoT'yi ve Gömülü Cihazları Riske Atıyor

Pierluigi Paganini 06 Temmuz 2026 06 Temmuz 2026

runZero, IoT'de ve gömülü cihazlarda kullanılan bir dosya sistemi olan FatF'lerde 7 kusur buldu. Hatalar, hazırlanmış depolama yoluyla bellek bozulmasına, çökmelere veya veri sızıntılarına neden olabilir.

Detaylar ve Etkileri

Siber güvenlik firması runZero, gömülü cihazların USB sürücüler ve SD kartlarda kullanılan formatların aynısı olan FAT ve exFAT formatlı depolamayı okumasına ve yazmasına olanak tanıyan kompakt bir açık kaynak kütüphanesi olan FatF'lerdeki yedi güvenlik açığını ortaya çıkardı. Şiddet dereceleri CVSS Orta'dan Yüksek'e kadar uzanır.

Bu proje, manuel test ve bulanıklaştırmanın yalnızca küçük sorunlar bulduğu FatFs sürücüsünün 2017 güvenlik denetimini yeniden ele aldı. Mart 2026'da ekip, analizi Visual Studio Code ve GitHub Copilot'u kullanarak basit istemlerle ve özel araç kullanmadan otomatik modda tekrarladı. Sonuçlar beklenmedikti: Daha önce gözden kaçan konuları bulmak kolaylaştı. Yapay zeka, bulanık girdilerin otomatik olarak oluşturulmasına yardımcı oldu ve hatta farklı gömülü ortamlarda kullanılabilirliği doğrulayarak bir zamanlar manuel, zaman alıcı bir süreci çok daha otomatik ve etkili bir şeye dönüştürdü.

Sonuç ve Değerlendirme

Kusurlar, Espressif ESP-IDF, STMicroelectronics STM32Cube, Zephyr RTOS, MicroPython, ArduPilot, RT-Thread, Mbed, Samsung TizenRT ve SWUpdate dahil olmak üzere birçok platformu etkiliyor. Bu platformların aşağısında tüketici IoT cihazları, endüstriyel kontrolörler, dronlar, donanım kripto cüzdanları ve daha fazlası bulunur.

FatF'leri paketleyen cihazların çoğunda, telefonların ve masaüstü bilgisayarların ASLR gibi hafife aldığı bellek korumaları yoktur.

Önemli Gelişmeler

"Bu platformları kullanan satıcılar için durum çok basit: Özellikle adres alanı düzeni rastgeleleştirmesi (ASLR) ve bellek korumasının eksikliği göz önüne alındığında, herhangi bir fiziksel erişim jailbreak'e yol açıyor. Diğer herkes için, halkın kısa süreli fiziksel erişiminin tam bir uzlaşmaya yol açmaması gereken çok sayıda cihaz var." raporu belirtiyor. "Örneğin, SDCard depolamalı güvenlik kameraları, USB dosya okuyuculu oylama makineleri, ATM'ler ve insanların dokunmasını beklediğiniz ekranı olan hemen hemen her şey."

SD kart yuvası olan bir güvenlik kamerası, USB okuyucusu olan bir oylama makinesi, bir ATM, halka açık bir kiosk: Bunların hiçbiri sürücüyü takan kişiye tam kontrol vermemelidir, ancak savunmasız FatFs kodunu çalıştıran yamalanmamış donanımda ortaya çıkan şey budur.

Nasıl Önlem Alınmalı?

Yedi hatanın tümü aynı tetikleyiciyi paylaşıyor: Bir cihaz hazırlanmış bir depolama birimini veya ürün yazılımı görüntüsünü okur, FatF'ler hatalı biçimlendirilmiş verileri yanlış kullanır ve bunu kötü şeyler takip eder. CVE'lerden ikisi, CVE-2026-6682 ve CVE-2026-6683, saldırı yüzeyini tamamen fiziksel medyanın ötesine genişleten, kablosuz cihaz yazılımı güncelleme süreçlerinde de yer alıyor.

Aşağıda yedi kusurun ayrıntıları verilmiştir:

CVE-2026-6682 (CVSS 7.6, Yüksek) – mount_volume() işlevindeki FAT32 tamsayı taşması, saldırgan tarafından kontrol edilen dosya boyutunda meta veriler üretebilir. Aşağı akış kodu tarafından okuma uzunluğu olarak buna güvenilebilir, bu da yığın veya yığın bozulmasına ve olası kod yürütülmesine yol açabilir.

CVE-2026-6687 (CVSS 7.6, Yüksek) – f_getlabel()'deki exFAT etiket uzunluğu yığın taşması, etiket alanı düzgün şekilde kapatılmadığında etiket arabelleklerine büyük boyutlu yazmalara izin veriyor. Bu, yerleşik ürün yazılımında doğrudan bellek bozulmasına yol açabilir.

Teknik Analiz

CVE-2026-6688 (CVSS 7.6, Yüksek) – fno.fname'in sabit boyutlu arabellekleri aştığı aşağı akış arayanlarda uzun dosya adı taşması. Bu genellikle strcpy veya sprintf kullanılarak sarmalayıcı kodun bozulmasına neden olur ve büyük ölçüde bellenimin dosya adlarını nasıl işlediğine bağlıdır.

CVE-2026-6685 (CVSS 6.1, Orta) – parçalanmış birimlerde kirli önbellek işlemede imzasız çıkarma sarma, belleği bozabilir veya sessiz veri bozulmasına neden olabilir; bu, özellikle günlük kaydı ve kontrol sistemlerinde tehlikelidir.

CVE-2026-6683 (CVSS 4.6, Orta) – hazırlanmış medya tarafından tetiklenen senkronizasyon/yazma yollarında exFAT'in sıfıra bölünmesi, ürün yazılımı güncelleme senaryolarında güvenilir çökmelere ve potansiyel cihaz tuğlalanmasına yol açar.

Sistem Güvenliği

CVE-2026-6686 (CVSS 4.6, Orta) – dosyaları EOF'yi geçecek şekilde genişletirken başlatılmamış kümeye maruz kalma, önceden silinmiş dosyalardan eski verilerin sızdırılmasına neden olarak bilgilerin ifşa edilmesi riski oluşturabilir.

Uzmanların Görüşleri

CVE-2026-6684 (CVSS 4.6, Orta) – R0.16 öncesi sürümlerdeki GPT bölümü tarama döngüsü, sınırsız taramayı tetikleyerek önyükleme sırasında hizmet reddine neden olabilir. Yukarı yönde sabittir ancak eski yerleşik dağıtımlarda hala mevcuttur.

FatF'ler bir geliştirici tarafından korunur. runZero, bakımcıya ulaşmak için defalarca girişimde bulundu ve JPCERT/CC'yi koordinasyon sürecine dahil etti. Her iki çaba da bir yanıt vermedi. Yedi CVE'nin altısı için herhangi bir yükseliş yok bir yama. Mevcut tek düzeltme, R0.16'da ele alınan GPT tarama sorunudur ve bu sorun bile alt satıcıların kendi kopyalarını güncellemelerini gerektirir.

Gelecekte Ne Bekleniyor?

Bu son ayrıntı sorunun can alıcı noktasıdır.

"FatF'ler bu bileşenlerden biri. Kompakt, kullanışlı ve her yere kopyalanıyor. Ürünleri hızlı bir şekilde göndermek için bu harika, ancak güvenilmeyen medyayı memnuniyetle besleyen ayrıştırıcının yanındaki kodda bellek güvenliği sorunları ortaya çıktığında o kadar da iyi değil." rapora devam ediyor. "Bu tür bir bileşenle, açıklama ve düzeltme perspektifinden bakıldığında, neredeyse herkesin yerel, satıcı tarafından sağlanan değişiklikler yapması nedeniyle başa çıkmak daha da zordur. Bu nedenle, bir yukarı akış yamasının dahil edilmeden önce oldukça dikkatli bir şekilde doğrulanması gerekir."

Eninde sonunda bir düzeltme ortaya çıksa bile, yukarı akıştan ayrılan her satıcı, onu göndermeden önce kendi değişikliklerine göre doğrulamak zorundadır. PixieFail'in emsali, EDK II ağ önyükleme kodundaki 2024'te açıklanan dokuz güvenlik açığı, bu sürecin haftalar değil yıllar sürmesi ve FatF'lerin daha zayıf bir düzeltme hattına sahip olması, çünkü hiçbir yanıt veren yukarı akış yok.

runZero, github.com/runZeroInc/vulns-2026-fatfs-chance adresindeki yardımcı havuzda kavram kanıtı disk görüntüleri, bir test donanımı ve çalışan bir QEMU tabanlı istismar gösterimi yayınladı. 1 Temmuz açıklama tarihi itibarıyla bu hataları kullanan herhangi bir saldırı bildirilmedi.

Etkilenen ürünleri gönderiyor veya çalıştırıyorsanız ne yapmalısınız?

FAT veya exFAT depolamaya dokunan ürün yazılımı oluşturursanız, acil iş şu şekildedir: FatF'lerin satıcı kopyasını bulun, etrafındaki sarmalayıcı kodu denetleyin, kodunuzun dosya adlarını ve dosya boyutlarını nasıl işlediğini inceleyin ve yama yapmayı planlayın. fno.fname'i sabit boyutlu bir ara belleğe kopyalayan kodlara özellikle dikkat edin. Etkilenen cihazları oluşturmak yerine çalıştırıyorsanız, fiziksel bağlantı noktalarını ve ürün yazılımı güncelleme kanallarını saldırı yüzeyi olarak değerlendirin: medyayı kimlerin takabileceğini kısıtlayın, satıcı güvenlik tavsiyelerini izleyin ve satıcılar bunları yayınladığında ürün yazılımı güncellemelerini uygulayın.

runZero'nun sağladığı daha geniş nokta üzerinde oturmaya değer. Bu hataları 2026'da gizli tutmak hiçbir şey kazandırmaz çünkü bunları bulan araçlar artık yaygın olarak mevcuttur. Bu gerçeğe verilecek doğru yanıt, açıklama, mümkün olan yerlerde koordinasyon ve savunuculara bir avantaj sağlayacak şekilde yayınlamadır.

Beni Twitter'da takip edin: @securityaffairs ve Facebook ve Mastodon

(SecurityAffairs – hackleme, FatF’ler)

Paylaş: