Перейти к основному контенту
LiMP VPN
Все новости

FatFs: 7 дыр угрожают банкоматам, дронам и кошелькам

FatFs: 7 дыр угрожают банкоматам, дронам и кошелькам

Коротко: В начале июля 2026 года исследователи из runZero раскрыли семь уязвимостей в FatFs — крошечной библиотеке для работы с накопителями, встроенной в миллионы устройств: от камер и дронов до банкоматов и аппаратных крипто-кошельков. Подготовленная USB-флешка, SD-карта или вредоносное обновление прошивки могут повредить память, а на слабо защищённом «железе» — привести к выполнению кода. Большинство устройств так и не получат патч, поэтому реальная защита — не подключать чужие носители и ставить прошивки только из официальных источников.

Что произошло

В начале июля 2026 года компания runZero опубликовала подробности о семи уязвимостях (CVE-2026-6682 — CVE-2026-6688) в FatFs — небольшой и широко используемой библиотеке, которая позволяет устройствам читать и записывать накопители в форматах FAT, exFAT и GPT: USB-флешки, SD-карты, образы обновлений. Серьёзность — от средней до высокой. Ключевая ошибка, CVE-2026-6682, — это переполнение целого числа при монтировании FAT32: искажённый том заставляет код неверно вычислить размер или длину чтения и повредить память. На «железе» без современных защит это можно превратить в выполнение произвольного кода.

Поскольку FatFs встроена в самую обычную технику, радиус поражения огромен. Почему безопасность на уровне устройства важна не меньше сетевой приватности, мы регулярно разбираем в нашем блоге — и этот случай прямо иллюстрирует правило.

Какие устройства под угрозой?

FatFs встроена в прошивки камер наблюдения, дронов, промышленных контроллеров, банкоматов, аппаратных крипто-кошельков и другой техники со сменными носителями. В числе затронутых экосистем — Espressif ESP-IDF, STM32Cube, Zephyr, MicroPython, ArduPilot, RT-Thread, Mbed, TizenRT и апдейтер SWUpdate. То есть это не один продукт, а компонент, переиспользованный в тысячах устройств, — именно поэтому такие «уязвимости цепочки поставок» так трудно искоренить. Та же логика угрозы «со стороны устройства» была и в нашем материале про ботнет из взломанной домашней техники.

Как выглядит атака?

Злоумышленник готовит специально сформированный накопитель или образ обновления прошивки. Когда устройство его читает — часто в тот самый момент, когда вы вставляете карту или запускаете обновление, — искажённые данные срабатывают как триггер. На устройстве без рандомизации адресного пространства и защиты памяти достаточно короткого физического доступа к слоту SD или порту USB, чтобы скомпрометировать систему.

Одна деталь повышает ставки: CVE-2026-6682 в ряде случаев достижима и через механизмы обновления прошивки, а не только через сменный носитель. Значит, на некоторых устройствах входной точкой может стать «отравленное» обновление, а не только физическая карта.

Почему это просто не пропатчат?

Здесь и кроется главная сложность. По данным runZero, сопровождающий FatFs не ответил даже после повторных обращений и координации через японский JPCERT/CC. В апстриме исправлена лишь одна ошибка — CVE-2026-6684 (зависание при монтировании GPT) в версии FatFs R0.16. Но даже там, где фикс есть, каждый производитель устройства должен вобрать его и выпустить обновление прошивки, а камеры, кошельки и контроллеры редко получают долгую поддержку. Многие останутся уязвимыми весь срок службы.

Примечателен и способ, которым нашли баги: runZero направила на код обычную связку — Visual Studio Code с GitHub Copilot в режиме «auto» и несколько простых запросов, — и ИИ собрал фаззер, который вскрыл ошибки, пропущенные ручным аудитом. Искусственный интеллект ускоряет поиск уязвимостей, и это работает в обе стороны — и для защитников, и для атакующих.

Что это значит для ваших данных

Для большинства людей риск — не удалённый взлом через интернет, а физический и «цепочечный»: неизвестная USB-флешка, «найденная» SD-карта, прошивка из неофициального источника. Скомпрометированная камера, роутер или кошелёк могут слить записи, ключи или трафик. Вывод тот же, что и в других недавних инцидентах: слабое место всё чаще — устройство у вас в руках или на полке, а не только облачный сервис за ним.

Как защититься

Не подключайте чужие носители. Не вставляйте неизвестные USB-флешки и SD-карты в камеры, контроллеры и кошельки. Это закрывает самый прямой путь к этим уязвимостям.

Ставьте прошивки только из официальных источников. Обновляйтесь через фирменное приложение или сайт производителя и следите за релизами безопасности для своих устройств. Если производитель забросил устройство, считайте его постоянно уязвимым.

Изолируйте умную технику в сети. Держите IoT-гаджеты в отдельной Wi-Fi-сети или гостевом VLAN, чтобы взломанное устройство не дотянулось до вашего телефона или ПК.

Защитите сетевой уровень. Уточним честно: VPN не залатает прошивку камеры или кошелька — это другой уровень защиты. Но VPN вроде LiMP VPN шифрует ваш трафик в недоверенных сетях и скрывает реальный IP, снижая слежку и уязвимость, когда ваши устройства выходят в интернет. Как это устроено — на странице возможностей.

Источники

Материал основан на публикациях The Hacker News, исследовательского блога runZero и русскоязычного SecurityLab за июль 2026 года.

FatFs: 7 дыр угрожают банкоматам, дронам и кошелькам | LiMP VPN