Hàng triệu thiết bị nhúng đối mặt rủi ro bảo mật từ lỗ hổng trong thư viện FatFs
Công ty bảo mật runZero vừa công bố 7 lỗ hổng trong FatFs - thư viện hệ thống tệp phổ biến trên các thiết bị nhúng, cho phép kẻ tấn công thực thi mã từ xa thông qua các thiết bị lưu trữ ngoại...
Công ty bảo mật runZero mới đây đã phát hiện và công bố 7 lỗ hổng bảo mật nghiêm trọng trong FatFs, một thư viện hệ thống tệp (filesystem) nhỏ gọn được sử dụng rộng rãi để đọc/ghi các định dạng FAT và exFAT trên USB và thẻ SD.
Mức độ nghiêm trọng của vấn đề nằm ở sự phổ biến của FatFs. Thư viện này được tích hợp sâu trong firmware của hàng triệu thiết bị, từ camera an ninh, thiết bị bay không người lái (drone), bộ điều khiển công nghiệp cho đến ví tiền điện tử phần cứng và các thiết bị chạy hệ điều hành thời gian thực (RTOS).
Nguy cơ thực thi mã từ xa
Theo runZero, kẻ tấn công có thể lợi dụng các lỗ hổng này bằng cách sử dụng USB, thẻ SD hoặc tệp cập nhật firmware đã được tinh chỉnh (malformed). Khi thiết bị đọc các dữ liệu này, FatFs sẽ xử lý sai lệch, dẫn đến tình trạng hỏng bộ nhớ (memory corruption) và cho phép kẻ tấn công thực thi mã tùy ý.
Do nhiều thiết bị nhúng thiếu các cơ chế bảo vệ bộ nhớ hiện đại như trên máy tính hay điện thoại, việc truy cập vật lý vào cổng USB hoặc khe cắm thẻ nhớ có thể dẫn đến tình trạng “jailbreak” thiết bị hoàn toàn.
Danh sách các lỗ hổng chính
Trong số 7 lỗ hổng được công bố, các lỗ hổng có điểm CVSS từ Trung bình đến Cao bao gồm:
- CVE-2026-6682 (CVSS 7.6): Lỗi tràn số nguyên (integer overflow) khi mount volume FAT32, dẫn đến hỏng bộ nhớ và khả năng thực thi mã.
- CVE-2026-6687 (CVSS 7.6): Lỗi tràn bộ đệm (buffer overflow) từ nhãn volume exFAT.
- CVE-2026-6688 (CVSS 7.6): Lỗi tràn bộ đệm liên quan đến tên tệp dài trong các đoạn mã wrapper bao quanh FatFs.
- Các lỗ hổng còn lại (CVE-2026-6685, 6683, 6686, 6684) tập trung vào các lỗi xử lý toán học, chia cho 0 hoặc lỗi phân vùng GPT, có thể gây treo thiết bị hoặc rò rỉ dữ liệu.
Thách thức trong việc vá lỗi
Đáng chú ý, FatFs hiện được duy trì bởi một nhà phát triển độc lập và các nỗ lực liên hệ từ runZero cũng như JPCERT/CC đều không nhận được phản hồi. Điều này đồng nghĩa với việc không có bản vá chính thức (upstream patch) cho hầu hết các lỗ hổng này. Các nhà sản xuất thiết bị (downstream vendors) sử dụng FatFs như Espressif ESP-IDF, STM32Cube, Zephyr, hay MicroPython sẽ phải tự thực hiện kiểm tra và vá lỗi trong mã nguồn của mình.
runZero đã công bố các bằng chứng khai thác (PoC) và mã kiểm thử trên kho lưu trữ công khai để cộng đồng có thể chủ động rà soát. Các chuyên gia khuyến cáo người dùng nên hạn chế quyền truy cập vật lý vào các cổng kết nối trên thiết bị nhúng và theo dõi sát sao các bản cập nhật firmware từ nhà sản xuất.
Sự việc này một lần nữa cho thấy vai trò của AI trong an ninh mạng khi runZero đã sử dụng các mô hình ngôn ngữ lớn (LLM) để xây dựng công cụ fuzzer, giúp phát hiện các lỗ hổng mà kiểm tra thủ công trước đây đã bỏ sót.
Nguồn tham khảo: The Hacker News


No Comment! Be the first one.