🔍 Contexte

Publié le 1er juillet 2026 par runZero (todb / HD Moore), cet article de recherche documente la découverte de sept vulnérabilités dans FatFs, une bibliothèque FAT open-source embarquée très répandue. La recherche a été initiée en mars 2026 en reprenant un audit manuel de 2017, cette fois avec l’aide de GitHub Copilot en mode automatique pour générer des fuzzers et valider l’exploitabilité.

🐛 Vulnérabilités identifiées

Les sept CVEs sont listées par ordre de criticité :

  • CVE-2026-6682 (CVSS 7.6, High) : Integer overflow dans mount_volume() pour FAT32 → heap/stack overflow et exécution de code potentielle
  • CVE-2026-6687 (CVSS 7.6, High) : Stack overflow via champ de longueur de label exFAT non borné dans f_getlabel()
  • CVE-2026-6688 (CVSS 7.6, High) : Overflow de nom de fichier long (LFN) dans les appelants downstream (strcpy, sprintf)
  • CVE-2026-6685 (CVSS 6.1, Medium) : Wrap arithmétique unsigned dans la gestion du dirty-cache → corruption mémoire silencieuse
  • CVE-2026-6683 (CVSS 4.6, Medium) : Division par zéro dans les chemins sync/write exFAT → crash fiable, vecteur de bricking OTA
  • CVE-2026-6686 (CVSS 4.6, Medium) : Exposition de clusters non initialisés lors d’extension de fichier au-delà de l’EOF → fuite de données
  • CVE-2026-6684 (CVSS 4.6, Medium) : Boucle de scan GPT non bornée → DoS au montage (pré-R0.16)

🎯 Plateformes et écosystèmes affectés

  • Espressif ESP-IDF, STMicroelectronics STM32Cube, Zephyr RTOS, MicroPython, ArduPilot, RT-Thread, Mbed, Samsung TizenRT, SWUpdate
  • Impact downstream : IoT grand public, contrôleurs industriels, drones, portefeuilles crypto, caméras de sécurité, machines à voter, ATMs

⚙️ Vecteur d’attaque

Les vulnérabilités sont déclenchables par des images FAT/exFAT/GPT forgées, via des médias amovibles (USB, SDCard) ou des canaux de mise à jour OTA (notamment CVE-2026-6682 et CVE-2026-6683). L’absence d’ASLR et de protection mémoire sur les systèmes embarqués amplifie l’impact.

📢 Divulgation

Le mainteneur de FatFs n’a pas répondu aux tentatives de contact. JPCERT/CC a été impliqué en amont. La publication cible directement les implémenteurs downstream. Un dépôt de recherche avec harnesses, images corrompues et exemple d’exploit QEMU est disponible sur GitHub.

📄 Type d’article

Publication de recherche en vulnérabilité, visant à alerter les implémenteurs de FatFs sur des failles exploitables dans la chaîne d’approvisionnement logicielle embarquée.

🧠 TTPs et IOCs détectés

TTP

  • T1195.002 — Compromise Software Supply Chain (Initial Access)
  • T1052.001 — Exfiltration over Physical Medium: USB Drive (Exfiltration)
  • T1499 — Endpoint Denial of Service (Impact)
  • T1203 — Exploitation for Client Execution (Execution)

IOC


🟡 Indice de vérification factuelle : 50/100 (moyenne)

  • ⬜ runzero.com — source non référencée (0pts)
  • ✅ 10833 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 7 IOCs (IPs/domaines/CVEs) (10pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 4 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ 0/5 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://www.runzero.com/blog/fatfs-bugs/