FatFs : 7 failles non patchées menacent des millions de systèmes embarqués

Sept failles de sécurité dans FatFs menacent des millions de systèmes embarqués

La société runZero a publié le 1er juillet 2026 un rapport révélant sept vulnérabilités dans FatFs, une bibliothèque de système de fichiers utilisée pour lire et écrire sur des dispositifs de stockage FAT/exFAT, tels que les clés USB et les cartes SD. Cette bibliothèque est intégrée dans de nombreux appareils de l’Internet des objets (IoT), notamment des caméras de surveillance, des drones et des portefeuilles de cryptomonnaie, ce qui soulève de sérieuses préoccupations en matière de sécurité.

Pour exploiter ces vulnérabilités, un attaquant pourrait manipuler un volume ou une image de firmware malformée, entraînant une mauvaise gestion de la lecture des données par FatFs. La vulnérabilité la plus critique, identifiée comme CVE-2026-6682 (CVSS 7.6), implique un dépassement d’entier lors du montage d’un volume FAT32, pouvant mener à une corruption mémoire et à une exécution de code malveillant. Les autres failles, bien qu’elles ne soient pas toutes aussi graves, présentent également des risques significatifs.

Les six autres vulnérabilités identifiées incluent :

  1. CVE-2026-6687 (7.6) : Un débordement de tampon causé par une étiquette de volume trop longue sur un volume exFAT.
  2. CVE-2026-6688 (7.6) : Un débordement de mémoire causé par un nom de fichier trop long, difficile à corriger à la source.
  3. CVE-2026-6685 (6.1) : Un débordement arithmétique dans la gestion du cache.
  4. CVE-2026-6683 (4.6) : Une division par zéro qui peut provoquer un plantage de l’appareil.
  5. CVE-2026-6686 (4.6) : Une fuite d’informations due à un fichier étendu au-delà de sa fin.
  6. CVE-2026-6684 (4.6) : Une table de partitions GPT malformée qui peut bloquer l’appareil au montage, mais déjà corrigée dans une mise à jour antérieure.

Malgré un audit préalable en 2017 sans résultats probants, runZero a pu identifier ces failles grâce à l’utilisation de l’intelligence artificielle. Le rapport souligne que FatFs est largement utilisé dans des plateformes majeures, ce qui représente des millions d’appareils potentiellement vulnérables.

Un autre aspect préoccupant est que de nombreux systèmes embarqués n’ont pas de protections mémoire, rendant ces appareils particulièrement sensibles aux attaques physiques. De plus, FatFs est maintenu par un seul développeur, qui n’est pas joignable, ce qui complique la mise en œuvre de correctifs.

À ce jour, aucune attaque exploitant ces vulnérabilités n’a été signalée, mais la situation pourrait évoluer rapidement si des mes ne sont pas prises.

Source : runZero

Source
Leave a Comment

Comments

No comments yet. Why don’t you start the discussion?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *