AI技术助力挖掘FatFs库中影响数百万设备的潜在漏洞
unZero 的研究专家公开了 FatFs 文件系统库中存在的七处安全缺陷,并发出警示,这些问题可能让数百万嵌入式设备面临被恶意 USB 驱动器、SD 卡以及部分情况下的固件更新途径所攻击的风险。
这些漏洞的 CVE 编号从 CVE-2026-6682 到 CVE-2026-6688,危害等级从中危到高危不等,波及嵌入在各类物联网、工业及消费产品中的软件模块。
runZero 公布了相关研究成果,该公司在更广泛的探索 AI 辅助长尾软件供应链漏洞发现技术的研究项目中,对 FatFs 进行了重新审查。
Moore 指出,2017 年早期的人工审查仅发现了一些小问题,而 2026 年 3 月借助 GitHub Copilot 自动生成模糊测试工具进行复审时,迅速识别出了多个此前被遗漏的漏洞。
https://www.runzero.com/blog/fatfs-bugs/
FatFs 是一款用 C 语言编写的精简开源 FAT/exFAT 文件系统实现,凭借出色的可移植性和宽松的授权许可,已成为嵌入式系统的行业标配。它被直接集成到 Espressif ESP-IDF、STMicroelectronics STM32Cube、Zephyr RTOS、MicroPython、ArduPilot、RT-Thread、Mbed OS、Samsung TizenRT 和 SWUpdate 等平台所使用的固件与软件开发套件中,这导致漏洞的下游影响范围极为广泛。
其中最严重的漏洞为 CVE-2026-6682(CVSS 7.6),它在 FAT32 挂载阶段存在整数溢出缺陷,攻击者可通过构造特殊的文件系统镜像破坏内存,甚至可能执行任意代码。另一个高危漏洞 CVE-2026-6687 可通过恶意的 exFAT 卷标引发栈缓冲区溢出,而 CVE-2026-6688 则暴露了一个常见的集成隐患:应用将长文件名拷贝到固定大小的缓冲区中,进而提升了内存损坏的可能性。其他公开的漏洞可能导致系统崩溃、数据损坏、信息外泄或拒绝服务攻击。
多数攻击场景需要攻击者提供恶意的 FAT 格式存储设备,因此 SD 卡和 U 盘等可移动介质成为主要传播途径。安全摄像头、无人机、工业控制器、加密钱包、投票系统、ATM 机以及其他会自动挂载插入介质的嵌入式产品等设备尤其容易遭受攻击。不过 runZero 强调,如果设备在验证更新镜像完整性之前就挂载了更新镜像,其中两个漏洞也可能波及空中固件更新流程,在安全性不足的更新管道中形成潜在的远程攻击路径。
研究人员表示,嵌入式生态系统的碎片化特征使修复工作变得棘手。FatFs 通常被直接复制到项目中,并在本地进行修改,这意味着下游厂商必须自行排查其产品是否包含存在漏洞的版本并实施修复。RunZero 透露,他们曾尝试联系上游维护者,并在协调披露阶段联系了日本的 JPCERT/CC,但均未获得回应。
runZero 没有选择私下保留这些发现,而是将调查结果、相关概念验证代码及测试工具予以公布,以协助厂商识别受影响的产品并验证修复方案。