Siber güvenlik firması runZero, USB sürücüler ve SD kartlarda kullanılan FAT ve exFAT formatlarını okuyup yazmaya olanak tanıyan küçük bir dosya sistemi kütüphanesi olan FatFs'te yedi adet güvenlik açığı keşfetti. Bu açıklar, milyonlarca gömülü cihazı etkiliyor. runZero'nun raporuna göre, FatFs güvenlik kameraları, dronlar, endüstriyel kontrolörler, donanım kripto cüzdanları ve gerçek zamanlı işletim sistemleri üzerinde çalışan diğer cihazlarda yaygın olarak kullanılıyor. En kötü durumda, bir saldırganın özel olarak hazırlanmış bir USB sürücü, SD kart veya güncelleme dosyasını cihaza takması, cihazın hafızasını bozmasına ve kendi kodunu çalıştırmasına olanak tanıyor. Bu, özellikle fiziksel erişimin kolay olduğu ATM'ler, oylama makineleri, kamuya açık kiosklar ve SD kart yuvası olan kameralar için büyük bir risk oluşturuyor.
runZero, tüm yedi açığın benzer şekilde çalıştığını belirtiyor: Cihaz, kasıtlı olarak bozulmuş bir depolama birimi veya firmware imajını okumaya çalıştığında, FatFs bu kötü veriyi yanlış işliyor. Açıkların çoğu, CVSS puanlamasında Orta ila Yüksek arasında değerlendirilirken, kritik seviyede bir açık bulunmuyor. En dikkat çekici açık, CVE-2026-6682 (CVSS 7.6) olarak kaydedilen ve FAT32 birimini bağlarken oluşan bir tamsayı taşması. Bu hata, yanlış bir dosya boyutu üretilmesine ve daha sonraki kodun bunu gerçek bir okuma uzunluğu olarak işlemesine yol açıyor. Gerçek donanımda bu, hafıza bozulmasına ve kod çalıştırmaya neden olabiliyor. runZero, bu açığın sadece fiziksel medyadan değil, bazı firmware güncellemeleri aracılığıyla da tetiklenebileceğini vurguluyor.
Diğer yüksek öncelikli açıklar arasında, exFAT birim etiketi alanının küçük bir arabelleği taşırarak hafıza bozulmasına yol açan CVE-2026-6687 ve uzun dosya adlarının FatFs etrafındaki sarmalayıcı kodda taşmaya neden olduğu CVE-2026-6688 bulunuyor. runZero, bu açığın FatFs içinde düzeltilmesinin zor olduğunu belirtiyor. Orta seviyedeki açıklar ise parçalanmış birimlerde önbellek işleme hatası (CVE-2026-6685), exFAT'te sıfıra bölme hatası (CVE-2026-6683, cihazı çökertebilir ve güncelleme akışında donanımı tuğla haline getirebilir), dosya sonunun ötesine uzanan bir dosyanın silinmiş dosyalardan kalan verileri sızdırması (CVE-2026-6686) ve bozuk GPT bölüm tablosunun cihazı bağlama sırasında askıda bırakması (CVE-2026-6684) olarak sıralanıyor. CVE-2026-6684, yedi açık arasında yukarı akışta (FatFs R0.16) düzeltilen tek açık.
Detaylar ve Etkileri
Sorunun büyüklüğü, FatFs'in tek bir geliştirici tarafından internetin küçük bir köşesinde bakımının yapılmasından kaynaklanıyor. runZero, geliştiriciye defalarca ulaşmaya çalıştıklarını ve Japonya'nın JPCERT/CC koordinasyon merkezini de dahil ettiklerini ancak yanıt alamadıklarını belirtiyor. Bu durum, hafıza bozulmasına neden olan açıklar için yukarı akışta bir düzeltme, güvenlik posta listesi veya etkilenen ürünlerin haberdar edilmesi için bir mekanizma olmadığı anlamına geliyor. GPT takılma sorunu için mevcut sürümü güncellemek yeterli olsa da, diğer açıkların düzeltilmesi tamamen alt yüklenicilere (cihaz üreticilerine) kalıyor. runZero, etkilenen platformlar arasında Espressif ESP-IDF, STMicroelectronics STM32Cube, Zephyr, MicroPython, ArduPilot, RT-Thread, Mbed, Samsung TizenRT ve SWUpdate güncelleme aracını sayıyor. Bu, sorunu tüketici IoT'sinden endüstriyel ekipmanlara, dronlardan kripto cüzdanlarına kadar geniş bir yelpazeye yayıyor.
runZero, 1 Temmuz 2026'da yaptığı açıklamaya kadar bu açıkların kullanıldığı herhangi bir saldırının rapor edilmediğini belirtiyor. Ancak, sömürü materyali zaten kamuya açık: runZero, bir yardımcı depoda proof-of-concept disk imajları, bir test düzeneği ve çalışan bir QEMU tabanlı sömürü örneği yayınladı. Bu, saldırganların bu açıkları kullanarak saldırı geliştirmesini kolaylaştırıyor. runZero, firmware geliştiricilerine doğrudan tavsiyelerde bulunuyor: FAT veya exFAT medyasına dokunan bir firmware oluşturuyorsanız, ürününüzdeki FatFs kopyasını bulun, etrafındaki sarmalayıcı kodu denetleyin, dosya adlarını ve dosya boyutlarını nasıl işlediğinize dikkatlice bakın ve yamalama planı yapın. Cihaz kullanıcıları ise fiziksel portları ve güncelleme kanallarını bir saldırı yüzeyi olarak ele almalı, medya takma işlemini sınırlandırmalı ve üretici firmware güncellemelerini takip etmelidir.
runZero'nun analizi, bu tür güvenlik açıklarının neden sürekli ortaya çıktığına da ışık tutuyor. runZero, FatFs'i ilk olarak 2017'de manuel olarak denetlemiş ve bildirilmeye değer pek bir şey bulamamıştı. Mart 2026'da geri döndüklerinde, ekip aynı koda Visual Studio Code, "otomatik" modda GitHub Copilot ve birkaç düz metin istemi kullanarak hazır bir kurulumla yaklaştı. Yapay zeka, bir fuzzer (bozuk veri besleyerek hata bulan araç) oluşturdu ve bu araç, manuel denetimin kaçırdığı hataları ortaya çıkardı ve bunların sömürülebilir olduğunu doğruladı. runZero, bu durumun büyüyen bir eğilime işaret ettiğini belirtiyor: 2024'ün sonlarında Google'ın Big Sleep ajanı, SQLite'da normal fuzz testlerinin kaçırdığı gerçek, sömürülebilir bir hafıza hatası bulmuştu. Geçtiğimiz ay, otonom bir yapay zeka ajanı, yaygın olarak gömülü başka bir C kütüphanesi olan FFmpeg'de 21 hafıza güvenliği hatası ortaya çıkardı. runZero'nun mesajı net: neredeyse hazır bir yapay zeka hattı bunları bulabiliyorsa, herkes bulabilir; bu nedenle bu açıkları sessizce saklamak kimseyi korumaz.
Yamalama sorunu da tanıdık. runZero, alt yüklenicilerin düzeltmelerinin günler değil, yıllar almasını bekliyor. Örnek olarak 2024'teki PixieFail olayını gösteriyor: EDK II'nin ağdan önyükleme kodunda bulunan dokuz açık, birçok PC ve sunucu markasının firmware'inde yavaş yamalanmıştı. FatFs, aynı yapıya sahip ve daha zayıf bir düzeltme hattına sahip çünkü hiçbir yukarı akış yanıtı yok. runZero, kullanıcıların iki şeye dikkat etmesini öneriyor: cihaz üreticilerinin güvenlik güncellemeleri yayınlayıp yayınlamadığı ve fiziksel erişimin kısıtlanması. Bu tür açıklar, özellikle gömülü cihazların hafıza korumalarının zayıf olduğu göz önüne alındığında, fiziksel erişimin bir "jailbreak" (tam kontrol) anlamına geldiğini bir kez daha hatırlatıyor.
Kaynak: thehackernews.com