7 lỗ hổng FatFs đe doạ hàng triệu thiết bị nhúng, phần lớn chưa vá
runZero công bố 7 CVE trong FatFs — driver hệ thống tệp FAT/exFAT có mặt khắp ESP-IDF, STM32Cube, Zephyr, MicroPython, ArduPilot… Nặng nhất là CVE-2026-6682 (CVSS 7.6): tràn số nguyên khi mount FAT32 tạo kích thước tệp giả, có thể dẫn tới hỏng bộ nhớ và thực thi mã. Chỉ 1/7 lỗi được vá upstream (R0.16); maintainer gần như không phản hồi nên phần lớn vẫn để ngỏ.
Nhóm nghiên cứu runZero công bố 7 lỗ hổng trong FatFs, thư viện hệ thống tệp FAT/exFAT nhẹ được nhúng trong vô số nền tảng phần cứng: Espressif ESP-IDF, STMicroelectronics STM32Cube, Zephyr RTOS, MicroPython, ArduPilot, RT-Thread, Mbed, Samsung TizenRT và SWUpdate — trải rộng từ thiết bị IoT tiêu dùng, bộ điều khiển công nghiệp, drone tới ví crypto. Tính tới thời điểm công bố (1/7/2026) chưa ghi nhận tấn công thực tế.
Ý chính
- CVE-2026-6682 (CVSS 7.6) là lỗi nặng nhất: tràn số nguyên trong phép tính khi mount FAT32 tạo ra kích thước tệp do kẻ tấn công kiểm soát; mã phía sau tin tưởng giá trị này, dẫn tới tràn heap/stack và có thể thực thi mã trên phần cứng thật.
- Cả 7 CVE được đánh giá từ Trung bình đến Cao, không có mức Critical.
- Chỉ CVE-2026-6684 (DoS khi quét phân vùng GPT) đã được vá upstream ở FatFs R0.16; các bản trước R0.16 vẫn dính.
- runZero tìm ra lỗi bằng VS Code + GitHub Copilot ở chế độ "auto" với vài prompt cơ bản, không cần fuzzing hay harness chuyên dụng — những lỗi từng bị bỏ sót trong đợt audit thủ công 2017.
- runZero nhiều lần liên hệ maintainer và báo qua JPCERT/CC nhưng không nhận phản hồi; dự án không có mailing list bảo mật, downstream khó biết mình bị ảnh hưởng.
- Đội nghiên cứu công bố kèm ảnh đĩa PoC, test harness và ví dụ khai thác chạy trên QEMU.