🔍 Contexte
Publié le 1er juillet 2026 par runZero (todb / HD Moore), cet article de recherche documente la découverte de sept vulnérabilités dans FatFs, une bibliothèque FAT open-source embarquée très répandue. La recherche a été initiée en mars 2026 en reprenant un audit manuel de 2017, cette fois avec l’aide de GitHub Copilot en mode automatique pour générer des fuzzers et valider l’exploitabilité.
🐛 Vulnérabilités identifiées
Les sept CVEs sont listées par ordre de criticité :
- CVE-2026-6682 (CVSS 7.6, High) : Integer overflow dans
mount_volume()pour FAT32 → heap/stack overflow et exécution de code potentielle - CVE-2026-6687 (CVSS 7.6, High) : Stack overflow via champ de longueur de label exFAT non borné dans
f_getlabel() - CVE-2026-6688 (CVSS 7.6, High) : Overflow de nom de fichier long (LFN) dans les appelants downstream (strcpy, sprintf)
- CVE-2026-6685 (CVSS 6.1, Medium) : Wrap arithmétique unsigned dans la gestion du dirty-cache → corruption mémoire silencieuse
- CVE-2026-6683 (CVSS 4.6, Medium) : Division par zéro dans les chemins sync/write exFAT → crash fiable, vecteur de bricking OTA
- CVE-2026-6686 (CVSS 4.6, Medium) : Exposition de clusters non initialisés lors d’extension de fichier au-delà de l’EOF → fuite de données
- CVE-2026-6684 (CVSS 4.6, Medium) : Boucle de scan GPT non bornée → DoS au montage (pré-R0.16)
🎯 Plateformes et écosystèmes affectés
- Espressif ESP-IDF, STMicroelectronics STM32Cube, Zephyr RTOS, MicroPython, ArduPilot, RT-Thread, Mbed, Samsung TizenRT, SWUpdate
- Impact downstream : IoT grand public, contrôleurs industriels, drones, portefeuilles crypto, caméras de sécurité, machines à voter, ATMs
⚙️ Vecteur d’attaque
Les vulnérabilités sont déclenchables par des images FAT/exFAT/GPT forgées, via des médias amovibles (USB, SDCard) ou des canaux de mise à jour OTA (notamment CVE-2026-6682 et CVE-2026-6683). L’absence d’ASLR et de protection mémoire sur les systèmes embarqués amplifie l’impact.
📢 Divulgation
Le mainteneur de FatFs n’a pas répondu aux tentatives de contact. JPCERT/CC a été impliqué en amont. La publication cible directement les implémenteurs downstream. Un dépôt de recherche avec harnesses, images corrompues et exemple d’exploit QEMU est disponible sur GitHub.
📄 Type d’article
Publication de recherche en vulnérabilité, visant à alerter les implémenteurs de FatFs sur des failles exploitables dans la chaîne d’approvisionnement logicielle embarquée.
🧠 TTPs et IOCs détectés
TTP
- T1195.002 — Compromise Software Supply Chain (Initial Access)
- T1052.001 — Exfiltration over Physical Medium: USB Drive (Exfiltration)
- T1499 — Endpoint Denial of Service (Impact)
- T1203 — Exploitation for Client Execution (Execution)
IOC
- CVEs :
CVE-2026-6682— NVD · CIRCL - CVEs :
CVE-2026-6683— NVD · CIRCL - CVEs :
CVE-2026-6684— NVD · CIRCL - CVEs :
CVE-2026-6685— NVD · CIRCL - CVEs :
CVE-2026-6686— NVD · CIRCL - CVEs :
CVE-2026-6687— NVD · CIRCL - CVEs :
CVE-2026-6688— NVD · CIRCL
🟡 Indice de vérification factuelle : 50/100 (moyenne)
- ⬜ runzero.com — source non référencée (0pts)
- ✅ 10833 chars — texte complet (fulltext extrait) (15pts)
- ✅ 7 IOCs (IPs/domaines/CVEs) (10pts)
- ⬜ pas d’IOC vérifié (0pts)
- ✅ 4 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ⬜ aucun acteur de menace nommé (0pts)
- ⬜ 0/5 CVE(s) confirmée(s) (0pts)
🔗 Source originale : https://www.runzero.com/blog/fatfs-bugs/