Vulnerabilidades críticas en FatFs afectan a millones de dispositivos integrados

Publicado el

Introducción

La empresa de seguridad runZero ha revelado la existencia de siete vulnerabilidades en FatFs, una biblioteca de sistemas de archivos que permite a los dispositivos leer y escribir en formatos FAT y exFAT, utilizados comúnmente en unidades USB y tarjetas SD. Este hallazgo es alarmante debido a la amplia presencia de FatFs en el firmware de dispositivos como cámaras de seguridad, drones, controladores industriales y monederos de hardware.

Impacto de las Vulnerabilidades

La gravedad de estas vulnerabilidades radica en que, en los sistemas más afectados, un atacante que logre introducir un dispositivo USB malicioso o un archivo de actualización comprometido podría corromper la memoria del dispositivo y ejecutar su propio código. Muchos de estos dispositivos no cuentan con las protecciones de memoria que tienen los teléfonos y ordenadores, lo que lleva a runZero a afirmar que "cualquier acceso físico conduce a un jailbreak". Un quiosco público, una cámara con ranura para SD, un cajero automático o una máquina de votación que permita el acceso físico puede ser explotado fácilmente.

Detalle de las Vulnerabilidades

Las siete vulnerabilidades funcionan de manera similar: cuando el dispositivo intenta leer un volumen de almacenamiento o una imagen de firmware dañada intencionadamente, FatFs gestiona incorrectamente los datos corruptos. runZero ha evaluado la gravedad de los fallos con un CVSS que oscila entre medio y alto, sin ninguna vulnerabilidad crítica. La más destacada es CVE-2026-6682 (CVSS 7.6), que implica un desbordamiento de enteros en el código que monta un volumen FAT32, lo que puede provocar corrupción de memoria y ejecución de código.

Vulnerabilidades Específicas

1. CVE-2026-6682 (7.6, Alto): Desbordamiento de enteros en el montaje de FAT32. Accesible a través de actualizaciones de firmware, no solo de medios físicos. 2. CVE-2026-6687 (7.6, Alto): Desbordamiento de un campo de etiqueta de volumen exFAT que ofrece a un atacante un punto de apoyo para la corrupción de memoria. 3. CVE-2026-6688 (7.6, Alto): Nombres de archivos largos que desbordan el código envolvente, lo que dificulta la solución dentro de FatFs. 4. CVE-2026-6685 (6.1, Medio): Error de cálculo en el manejo de caché en volúmenes fragmentados que puede corromper datos sin aviso. 5. CVE-2026-6683 (4.6, Medio): División por cero en exFAT que puede bloquear el dispositivo. Accesible mediante actualizaciones de firmware. 6. CVE-2026-6686 (4.6, Medio): Un archivo que se extiende más allá de su fin puede filtrar datos de archivos previamente eliminados. 7. CVE-2026-6684 (4.6, Medio): Una tabla de partición GPT malformada puede colgar el dispositivo durante el montaje. Esta es la única vulnerabilidad de las siete que ha sido solucionada en FatFs R0.16.

Desafíos de Parches

El mantenimiento de FatFs recae en un único desarrollador, y runZero ha intentado sin éxito contactar con el responsable y coordinar con el centro JPCERT/CC de Japón. Actualmente, no existe una solución centralizada para las vulnerabilidades de corrupción de memoria, y las actualizaciones solo abordan el problema de la tabla GPT. Esto deja a los proveedores de productos que incorporan FatFs con la responsabilidad de implementar parches.

Entre las plataformas afectadas se encuentran Espressif ESP-IDF, STMicroelectronics STM32Cube, Zephyr, MicroPython, ArduPilot, RT-Thread, Mbed, Samsung TizenRT y el actualizador SWUpdate. Esta situación afecta a una variedad de dispositivos IoT de consumo, equipos industriales, drones y monederos de criptomonedas.

Consejos de Seguridad

Aunque hasta la fecha no se han reportado ataques utilizando estas vulnerabilidades y no han surgido nuevos incidentes, el material de explotación ya está disponible públicamente. runZero ha proporcionado imágenes de disco de prueba y ejemplos funcionales de explotación. Para aquellos que desarrollan firmware que interactúa con medios FAT o exFAT, es crucial auditar el código que rodea a FatFs, prestar atención a la gestión de nombres de archivos y tamaños, y planificar parches adecuados.

Para los dispositivos afectados, se recomienda tratar los puertos físicos y los canales de actualización como superficies de ataque: limitar quién puede conectar medios y estar atento a las actualizaciones de firmware del proveedor.

Conclusión

La repetición de estos problemas de seguridad es preocupante. runZero anticipa que los parches de los proveedores tardarán años en implementarse. La situación de FatFs es un recordatorio de la necesidad de una mejor gestión de vulnerabilidades en sistemas ampliamente utilizados, especialmente a medida que la tecnología avanza y se integran más dispositivos en la vida cotidiana.

Fuente

Ver noticia original