
La empresa de seguridad runZero ha revelado siete vulnerabilidades en FatFs, una pequeña biblioteca de sistema de archivos que permite a los dispositivos leer y escribir formatos FAT y exFAT utilizados en unidades USB y tarjetas SD.
El defecto es importante porque los FatF son casi omnipresentes. Está integrado en el firmware que ejecuta cámaras de seguridad, drones, controladores industriales, billeteras criptográficas de hardware y otros dispositivos integrados en sistemas operativos en tiempo real.
En los sistemas más gravemente afectados, si un atacante obtiene una unidad USB, una tarjeta SD o un archivo de actualización con trampa explosiva en el dispositivo, puede dañar la memoria y ejecutar su propio código.
Debido a que muchos dispositivos integrados no tienen las mismas protecciones de memoria que se encuentran en los teléfonos móviles y computadoras de escritorio, runZero dice que «el acceso físico conduce al jailbreak». Los quioscos públicos, las cámaras con ranuras para tarjetas SD, los cajeros automáticos o las máquinas de votación con puertos USB no deberían ceder el control total en el momento en que accedes físicamente a ellos, pero aquí puedes hacerlo.
Los siete errores funcionan esencialmente de la misma manera. El dispositivo intenta intencionalmente leer un volumen de almacenamiento o una imagen de firmware con formato incorrecto y FatFs maneja incorrectamente los datos con formato incorrecto. runZero calificó el CVSS del equipo como «moderado» a «alto», pero no crítico.
El error principal es CVE-2026-6682 (CVSS 7.6), un desbordamiento de enteros en el código que monta volúmenes FAT32. Un cálculo incorrecto puede producir un tamaño de archivo incorrecto, que el código posterior trata como la longitud de lectura real. En hardware real, pueden producirse daños en la memoria y ejecución de código.
Los siete se enumeran a continuación. Las peores clasificaciones según runZero son:
CVE-2026-6682 (7.6, alto): desbordamiento de enteros de montaje FAT32 que provoca corrupción de memoria y posible ejecución de código. Se puede acceder a él a través de medios físicos, así como a través de algunas actualizaciones de firmware. CVE-2026-6687 (7.6, alto): el campo de etiqueta de volumen exFAT desborda un pequeño búfer, lo que brinda a los atacantes un punto de apoyo para limpiar la memoria. CVE-2026-6688 (7.6, alto): los nombres de archivos largos desbordan el código contenedor en muchos proyectos ubicados alrededor de FatF, como strcpy de fno.fname en un búfer fijo. Es difícil solucionarlo únicamente dentro de los FatF. CVE-2026-6685 (6.1, Medio): El ajuste matemático en el almacenamiento en caché de volúmenes fragmentados puede corromper datos silenciosamente. CVE-2026-6683 (4.6, Medio): exFAT se divide por cero y bloquea el dispositivo. El flujo de actualización tiene el potencial de bloquear su hardware. También se puede acceder a él a través de algunas actualizaciones de firmware. CVE-2026-6686 (4.6, Medio): Los datos sobrantes de un archivo eliminado previamente pueden quedar expuestos cuando un archivo se extiende más allá del final. CVE-2026-6684 (4.6, Medio): Una tabla de particiones GPT (mapa de disco) incorrecta puede provocar que un dispositivo se cuelgue durante el montaje. Este es el único de los siete flujos ascendentes fijados en FatFs R0.16.
Ésta es la parte difícil. FatFs es mantenido por un único desarrollador en un rincón de Internet, y runZero dice que múltiples intentos de contactar al mantenedor, conectados al Centro de Coordinación JPCERT/CC de Japón, quedaron sin respuesta.
Como explica runZero, no existe una solución inicial para el error de corrupción de memoria, no hay una lista de correo de seguridad y no hay forma de saber si muchos productos que incluyen FatF están afectados. Los bloqueos de GPT están bloqueados en la versión actual, por lo que las actualizaciones pueden resolverlos, pero el resto quedará en manos de los proveedores intermedios para que los parcheen por su cuenta.
runZero enumera los nombres de las plataformas afectadas, incluidas Espressif ESP-IDF, STMicroelectronics STM32Cube, Zephyr, MicroPython, ArduPilot, RT-Thread, Mbed, Samsung TizenRT y SWUpdate Updater. Esto extiende el problema al IoT de consumo, los equipos industriales, los drones y las carteras criptográficas.
En el momento de la publicación de runZero el 1 de julio, no se había reportado ningún ataque que explotara estos errores, y ninguno ha aparecido desde entonces. Sin embargo, el material del exploit ya está disponible públicamente y runZero envía una imagen de disco de prueba de concepto, un arnés de prueba y una muestra funcional del exploit basada en QEMU en un repositorio complementario.
Al crear firmware para manejar medios FAT o exFAT, el consejo es sencillo. Localice una copia de FatF en su producto, audite el código contenedor que lo rodea, examine cuidadosamente cómo se manejan los nombres y tamaños de los archivos y planifique su aplicación de parches.
Si está ejecutando un dispositivo afectado, apunte a los puertos físicos y los canales de actualización, limite quién puede conectar medios y supervise las actualizaciones de firmware del proveedor.
¿Por qué esto sigue sucediendo?
runZero auditó manualmente los FatF por primera vez en 2017, pero encontró muy poco que valiera la pena informar. En marzo de 2026, el equipo dirigió una configuración lista para usar con el mismo código, Visual Studio Code, GitHub Copilot en modo «automático» y algunas indicaciones simples.
LLM creó un fuzzer, una herramienta que introduce datos incorrectos en su código hasta que algo se rompe. Esto nos permitió confirmar que los errores que las auditorías manuales no detectaron surgieron y eran explotables.
Esto se aplica a los patrones de crecimiento. A finales de 2024, el agente Big Sleep de Google descubrió un error de memoria del mundo real explotable en SQLite que la fuzzización regular pasaba desapercibida.
El mes pasado, un agente autónomo de IA descubrió 21 errores de seguridad de la memoria en FFmpeg, otra biblioteca C ampliamente integrada. El punto de runZero es sencillo. Si un canal de IA, en su mayor parte disponible en el mercado, puede encontrarlos, entonces cualquiera puede encontrarlos, por lo que sentarse en silencio sobre ellos no protege a nadie.
Los problemas con los parches son bien conocidos. runZero espera que las correcciones posteriores lleven años, no días, y PixieFail es un precedente para eso. Nueve errores en 2024 en el código de arranque de red de EDK II, el firmware detrás de muchas marcas de PC y servidores, provocaron que los proveedores tardaran en parchearlos. Los FatF tienen la misma forma pero carecen de capacidad de respuesta en sentido ascendente, lo que da como resultado un proceso de modificación más débil.
Será interesante ver dos cosas: si los mantenedores de FatF reaparecen con un parche y cómo responden los principales proveedores de plataformas que lo incluyen. Hasta que lo haga, suponga que muchos dispositivos de envío leen almacenamiento no confiable que contiene código no modificado.
Source link
