runZero araştırmacıları, milyonlarca gömülü cihazda kullanılan FatFs dosya sistemi kütüphanesinde yedi yeni güvenlik açığı tespit etti. FatFs güvenlik açıkları, USB bellekler, SD kartlar veya bozulmuş ürün yazılımı dosyaları üzerinden tetiklenebiliyor. Araştırmaya göre en kritik senaryolarda saldırganlar cihaz belleğini bozarak uzaktan kod çalıştırma veya sistem kontrolünü ele geçirme imkânı elde edebiliyor.

Güvenlik Açıkları Çok Sayıda Cihazı Etkiliyor

FatFs, FAT ve exFAT dosya sistemlerini destekleyen hafif bir kütüphane olarak güvenlik kameraları, endüstriyel kontrol sistemleri, dronlar, donanım cüzdanları ve gerçek zamanlı işletim sistemleri kullanan çok sayıda üründe yer alıyor. Araştırmacılar, özellikle bellek koruma mekanizmalarının bulunmadığı gömülü sistemlerde fiziksel erişimin ciddi güvenlik riskine dönüştüğünü belirtiyor.

runZero tarafından açıklanan yedi güvenlik açığının tamamı benzer yöntemle çalışıyor. Saldırgan, özel olarak hazırlanmış bir USB bellek, SD kart veya ürün yazılımı dosyasını cihaza yüklediğinde FatFs hatalı veriyi yanlış işliyor. Bunun sonucunda bellek bozulması, hizmet dışı bırakma, veri sızıntısı veya rastgele kod çalıştırma gibi sonuçlar ortaya çıkabiliyor.

Araştırmada en yüksek risk seviyesine sahip açık olarak CVE-2026-6682 gösteriliyor. FAT32 bölümünü bağlama işlemi sırasında oluşan tam sayı taşması nedeniyle sistem yanlış dosya boyutu hesaplıyor. Daha sonraki işlemler bu değeri gerçek veri uzunluğu olarak kullandığında bellek taşması oluşabiliyor. Bunun yanında CVE-2026-6687 ve CVE-2026-6688 numaralı açıkların da bellek bozulmasına yol açabilecek yüksek riskli zafiyetler arasında yer aldığı belirtiliyor.

👉️ İlginizi Çekebilir: JadePuffer Fidye Yazılımı Siber Tehditlerde Yeni Dönemi Başlattı

Kalıcı Düzeltme Henüz Yayınlanmadı

Araştırmacılar, FatFs geliştiricisiyle ve Japonya Bilgisayar Acil Müdahale Ekibi Koordinasyon Merkezi (JPCERT/CC) ile iletişim kurmaya çalıştıklarını ancak yanıt alamadıklarını açıkladı. Şu an için yalnızca GPT bölüm tablosunu etkileyen CVE-2026-6684 açığı FatFs R0.16 sürümünde düzeltilmiş durumda. Bellek bozulmasına neden olan diğer güvenlik açıkları için ise resmî bir üst düzey yama henüz bulunmuyor.

Sorundan etkilenen platformlar arasında Espressif ESP-IDF, STMicroelectronics STM32Cube, Zephyr, MicroPython, ArduPilot, RT-Thread, Mbed, Samsung TizenRT ve SWUpdate yer alıyor. Bu durum tüketici elektroniğinden endüstriyel otomasyona kadar uzanan geniş ürün yelpazesini doğrudan etkiliyor.

runZero, araştırma kapsamında kavram kanıtlama (PoC) disk görüntülerini, test araçlarını ve QEMU tabanlı örnek istismar kodlarını da yayınladı. Araştırmacılar, bugüne kadar bu açıklardan yararlanan aktif saldırı tespit edilmediğini belirtse de teknik ayrıntıların kamuya açılması nedeniyle üreticilerin FatFs güvenlik açıkları için kendi ürünlerinde kullandıkları sürümleri hızla incelemeleri, dosya işleme kodlarını denetlemeleri ve gerekli yamaları geliştirmeleri gerektiği uyarısında bulunuyor.

ITSTACK Hakkında

ITSTACK sizlere Bilgi Teknolojileri konusunda uzman ekibi ile 24/7 hizmet vermek için hazır! Detaylı bilgi için bize ulaşın.