Milyonlarca Gömülü Cihazda Kullanılan FatFs'te 7 Kritik Güvenlik Açığı Tespit Edildi Dünya Geneli

Milyonlarca Gömülü Cihazda Kullanılan FatFs'te 7 Kritik Güvenlik Açığı Tespit Edildi

Güvenlik firması runZero, milyonlarca gömülü cihazda kullanılan FatFs dosya sistemi kütüphanesinde 7 güvenlik açığı keşfetti.

Güvenlik firması runZero, milyonlarca gömülü cihazda kullanılan FatFs adlı dosya sistemi kütüphanesinde 7 farklı güvenlik açığı tespit etti. FatFs, USB sürücüler ve SD kartlarda kullanılan FAT ve exFAT formatlarını okuyup yazabilen küçük bir kütüphane olarak biliniyor. Bu açıklar, güvenlik kameraları, drone'lar, endüstriyel kontrolörler, donanım kripto cüzdanları ve diğer gerçek zamanlı işletim sistemi tabanlı cihazlarda ciddi risk oluşturuyor. En kötü durumda, bir saldırgan cihaza bozuk bir USB sürücü, SD kart veya güncelleme dosyası yerleştirerek hafızayı bozabilir ve kendi kodunu çalıştırabilir.

Keşfedilen açıkların en kritiği CVE-2026-6682 (CVSS 7.6) olarak kaydedildi. Bu açık, FAT32 birimini bağlama sırasında oluşan tamsayı taşması nedeniyle hafıza bozulmasına ve kod yürütülmesine yol açabiliyor. Diğer yüksek önem derecesine sahip açıklar arasında exFAT birim etiketi taşması (CVE-2026-6687) ve uzun dosya adı taşması (CVE-2026-6688) bulunuyor. Orta seviyedeki açıklar ise önbellek işleme hataları, sıfıra bölme, dosya sonu sızıntısı ve bozuk GPT bölüm tablosu nedeniyle cihazın takılmasına neden oluyor. runZero, tüm açıkların ortak bir şekilde çalıştığını, cihazın bozuk bir depolama birimini veya firmware imajını okumaya çalıştığında FatFs'in hatalı veriyi yanlış işlemesiyle ortaya çıktığını belirtiyor.

Açıkların en büyük sorunu, FatFs kütüphanesinin tek bir geliştirici tarafından bakımının yapılması ve güncelleme sürecinin zayıf olması. runZero, geliştiriciye ulaşmaya çalıştığını ancak yanıt alamadığını ve Japonya'nın JPCERT/CC koordinasyon merkezine de başvurduğunu ancak sonuç alamadığını açıkladı. Bu nedenle, hafıza bozulmasına neden olan açıklar için resmi bir yama bulunmuyor. Sadece GPT bölüm tablosu hatası (CVE-2026-6684) FatFs R0.16 sürümünde düzeltildi. runZero, Espressif ESP-IDF, STMicroelectronics STM32Cube, Zephyr, MicroPython, ArduPilot, RT-Thread, Mbed, Samsung TizenRT ve SWUpdate gibi platformların etkilendiğini belirtiyor.

Bu güvenlik açıkları, gömülü cihazlardaki fiziksel erişim güvenliğinin önemini bir kez daha ortaya koyuyor. runZero, 2017'de manuel olarak denetlediği FatFs kütüphanesini Mart 2026'da yapay zeka destekli bir fuzzer ile tekrar taradı ve bu açıkları keşfetti. Bu, yapay zeka araçlarının güvenlik açıklarını bulmada ne kadar etkili olduğunu gösteriyor. Kullanıcıların fiziksel portları ve güncelleme kanallarını bir saldırı yüzeyi olarak görmesi, kimlerin medya takabileceğini sınırlaması ve satıcı firmware güncellemelerini takip etmesi öneriliyor. runZero, bu açıkların yamalanmasının yıllar alabileceğini ve PixieFail benzeri bir durumun yaşanabileceğini belirtiyor.

Paylaş: