Security Week 2628: опасные уязвимости в библиотеке FatFs. embedded systems.. embedded systems. fatfs.. embedded systems. fatfs. security.. embedded systems. fatfs. security. Блог компании «Лаборатория Касперского».. embedded systems. fatfs. security. Блог компании «Лаборатория Касперского». ИБ.. embedded systems. fatfs. security. Блог компании «Лаборатория Касперского». ИБ. Информационная безопасность.

1 июля компания runZero сообщила об обнаружении семи уязвимостей в библиотеке FatFs. Это свободно распространяемое ПО, предназначенное для использования преимущественно во встраиваемых устройствах с ограниченной производительностью. По этой причине важной особенностью данной истории является не столько серьезность уязвимостей, сколько варианты их последующего устранения. В любом случае, обнаруженные проблемы на момент подготовки этой статьи остаются незакрытыми — разработчик библиотеки не отреагировал на сообщения исследователей, а те решили не задерживать публикацию, так как, по их словам, с помощью ИИ данные проблемы скоро обязательно найдет кто-нибудь еще.

Security Week 2628: опасные уязвимости в библиотеке FatFs - 1

FatFs зачастую интегрируется непосредственно в код проектов встраиваемых устройств и повсеместно используется там, где требуется чтение/запись с карты памяти, флешки и вообще любого съемного носителя данных. Библиотека также имеется в крупных embedded-платформах и проектах, таких как Espressif ESP-IDF, STMicroelectronics STM32Cube, Zephyr RTOS, ArduPilot, Samsung TizenRT и других. Напрямую или опосредованно она попадает в конечные устройства — будь то любительские изделия или готовые промышленные микроконтроллеры.

Уязвимости были найдены исследователями runZero в ходе полуавтоматизированного исследования библиотеки при помощи GitHub Copilot. Авторы отчета отмечают, что создавать сколько-нибудь серьезную обвязку для ИИ-ассистента не понадобилось — ограничились «некоторыми базовыми промптами». Они также демонстрируют заметную эволюцию инструментов поиска уязвимостей: та же команда уже анализировала FatFs в 2017 году. Тогда применялись, естественно, не искусственный интеллект, а фаззинг и ручной аудит, и ничего значимого найдено не было. Спустя девять лет добавление ИИ привело к значимому результату при анализе той же кодовой базы.

Из семи уязвимостей три имеют максимальный в выборке рейтинг 7,6 балла по шкале CVSS. Для оценки потенциальных последствий показателен баг CVE-2026-6682. В коде, ответственном за монтирование раздела, считывается контролируемый потенциальным атакующим параметр размера файлов, что вызывает целочисленное переполнение. В runZero намеренно не вдаются в детали потенциальной эксплуатации, но при этом выкладывают proof of concept на собственный GitHub. Там же описывается и сценарий эксплуатации данной уязвимости: злоумышленнику достаточно буквально на минуту получить доступ к устройству, подменить карту памяти на собственную и таким образом открыть путь к выполнению произвольного кода и полной компрометации устройства. Дальше можно додумать за авторов: взлом одного промышленного контроллера может привести к компрометации всей сети предприятия.

Другой вариант атаки: FatFs может послужить инструментом обхода защиты самого встраиваемого устройства, а дальнейший анализ прошивки может привести к обнаружению других уязвимостей, в том числе и эксплуатируемых удаленно. В некоторых случаях авторы допускают применение уязвимостей в FatFs в процессе обновления ПО на устройстве — если удастся встроиться в этот процесс и подменить оригинальный файл прошивки на подготовленный. Еще одна уязвимость получила идентификатор CVE-2026-6687: на участке кода, ответственном за работу с файловой системой exFAT, имеется ошибка деления на ноль. Это может вызывать сбой при попытке подключения тома exFAT. В случае встраиваемого устройства конечным результатом может быть полная неработоспособность. Наконец, третья уязвимость с высоким рейтингом CVE-2026-6688 вызывает переполнение буфера при наличии в папке файлов с длинными именами.

Авторы отчета отмечают, что у проекта FatFs нет истории публикации уязвимостей и даже какого-то явного процесса приема информации о проблемах. Это, скорее всего, приведет к тому, что пользователям библиотеки — как разработчикам встраиваемых платформ, так и создателям готовых устройств — придется готовить патчи самостоятельно. Поскольку речь идет об устройствах с ограниченной производительностью, часто без возможности удаленного обновления ПО, распространение патчей может занять годы. Каждому конечному разработчику придется самостоятельно оценить, насколько серьезны уязвимости, исходя из реалий применения конкретных устройств. Исследователи оценивают библиотеку FatFs как героя знаменитого комикса XKCD “Dependency” — это та самая библиотека, разработанная на общественных началах, на которой, как внезапно выясняется, работает половина промышленных систем.

Что еще произошло 

Критическая уязвимость обнаружена в ПО для удаленного управления парком устройств SimpleHelp. Максимально опасная десятибалльная проблема уже активно эксплуатируется злоумышленниками с целью кражи корпоративных данных.

Эксперты «Лаборатории Касперского» анализируют безопасность клиента OpenClaw. За два года существования проекта в нем было найдено свыше 500 уязвимостей, а наиболее серьезную опасность представляют так называемые вредоносные навыки — наборы готовых инструкций для OpenClaw, созданные с целью кражи данных и других деструктивных действий. С начала года было задетектировано более ста тысяч попыток распространения и эксплуатации таких зловредов нового типа.

Еще одна публикация «Лаборатории Касперского» разбирает метод использования легитимного ПО ScreenConnect для установки троянских программ. А здесь анализируется атака с использованием инструмента Microsoft Identity Platform. Легитимный способ подключения устройства, например умного телевизора, задействуется в особой категории атак, которую назвали Device Code Phishing. Результат — кража учетки Microsoft.

Почти ни одна неделя этого лета не обходится без новой уязвимости в ядре Linux. Очередная проблема Bad Epoll (CVE-2026-46242), как и в предыдущих случаях, открывает путь для эскалации привилегий при наличии локального доступа к системе. Больше подробностей о баге публикует первооткрыватель, который также не без гордости добавляет, что нашел уязвимость вручную, в то время как модель Anthropic Mythos ее пропустила.

Компания LayerX нашла интересный способ атаки на браузер со встроенным ИИ-агентом. Агенту предлагается сыграть в игру, в процессе которой ИИ убеждают в корректности заведомо неправильных тезисов. В результате для ИИ создается некоторая новая реальность, в которой становится возможной отправка конфиденциальных данных пользователя злоумышленникам.

Автор: Kaspersky_Lab

Источник