Sete vulnerabilidades no FatFs, biblioteca de sistema de arquivos FAT/exFAT usada em milhões de dispositivos IoT e embarcados, permitem que atacantes corrompam a memória de câmeras de segurança, drones, caixas eletrônicos e carteiras de criptomoedas usando um simples pen drive ou cartão SD malicioso. Descobertas pela runZero com auxílio de IA, as falhas CVE-2026-6682 a CVE-2026-6688 não têm correção upstream porque o único mantenedor do projeto nunca respondeu.
Sete falhas num driver onipresente
Pesquisadores da runZero divulgaram sete vulnerabilidades no FatFs, uma biblioteca de sistema de arquivos presente em milhões de dispositivos embarcados e IoT no mundo todo. As falhas, identificadas como CVE-2026-6682 a CVE-2026-6688, vão de severidade média a alta (CVSS 4,6 a 7,6) e permitem que um atacante com um pen drive ou cartão SD malicioso corrompa a memória do aparelho e execute código arbitrário. O detalhe mais alarmante: muitas dessas falhas não têm correção, porque o mantenedor do FatFs nunca respondeu aos contatos da equipe de pesquisa.
O FatFs é um módulo leve de sistema de arquivos FAT/exFAT, projetado para microcontroladores e dispositivos com recursos limitados. Ele está dentro do firmware de câmeras de segurança, drones, controladores industriais, carteiras de criptomoedas, caixas eletrônicos, ATMs, urnas eletrônicas e qualquer aparelho que leia USB ou cartão SD. Quando uma biblioteca dessas tem falhas de segurança, o impacto escala para milhões de dispositivos simultaneamente.
Como as falhas foram descobertas
A descoberta tem um ângulo fascinante: foi feita com inteligência artificial. Em março de 2026, a equipe da runZero revisitou o código do FatFs usando Visual Studio Code com GitHub Copilot em modo “auto”, sem ferramentas de fuzzing personalizadas. O modelo de IA construiu um fuzzer — uma ferramenta que alimenta dados malformados no código até algo quebrar — e encontrou bugs que uma auditoria manual feita em 2017 tinha deixado passar.
Segundo a The Hacker News, a runZero foi direta: “se um pipeline de IA basicamente pronto consegue encontrar essas falhas, qualquer um também consegue — portanto ficar quieto não protege ninguém”. Os pesquisadores publicaram imagens de disco de prova de conceito, um harness de teste e um exploit funcional em QEMU num repositório público no GitHub.
As sete vulnerabilidades em detalhe
As sete falhas compartilham um mecanismo básico: o dispositivo tenta ler um volume de armazenamento ou imagem de firmware deliberadamente malformado, e o FatFs processa os dados corrompidos de forma insegura. A tabela abaixo resume cada uma:
| CVE | CVSS | Descrição |
|---|---|---|
| CVE-2026-6682 | 7,6 (Alta) | Integer overflow na montagem de FAT32 gera metadados de tamanho de arquivo controláveis, levando a corrupção de memória e execução de código |
| CVE-2026-6687 | 7,6 (Alta) | Campo de label de volume exFAT sem limite estoura buffer na pilha, criando vetor de corrupção de memória |
| CVE-2026-6688 | 7,6 (Alta) | Nomes longos de arquivo (LFN) transbordam buffers de tamanho fixo no código wrapper ao redor do FatFs |
| CVE-2026-6685 | 6,1 (Média) | Wraparound de subtração sem sinal no cache de volumes fragmentados causa corrupção silenciosa de dados |
| CVE-2026-6683 | 4,6 (Média) | Divisão por zero em exFAT cria crash confiável; pode brickar hardware durante atualização OTA |
| CVE-2026-6686 | 4,6 (Média) | Seek além do EOF expõe dados não inicializados, vazando conteúdo de arquivos anteriormente apagados |
| CVE-2026-6684 | 4,6 (Média) | Tabela GPT malformada causa loop infinito na montagem (DoS). Única corrigida no upstream R0.16 |
Plataformas e dispositivos afetados
O FatFs está integrado nos principais kits de desenvolvimento embarcado do mundo. A Cyber Security News lista as plataformas afetadas: Espressif ESP-IDF (o ecossistema do chip ESP32, onipresente em IoT), STMicroelectronics STM32Cube, Zephyr RTOS, MicroPython, ArduPilot (drones), RT-Thread, Mbed, Samsung TizenRT e o atualizador SWUpdate.
Na prática, isso significa que as classes de dispositivos vulneráveis incluem: câmeras de segurança com slot para cartão SD, controladores industriais, gateways IoT, drones, carteiras físicas de criptomoedas, caixas eletrônicos, urnas eletrônicas com porta USB, robôs, sistemas automotivos embarcados e qualquer aparelho que aceite mídia removível. Como muitos desses dispositivos não têm ASLR nem proteções de memória encontradas em PCs e smartphones, o acesso físico via USB ou SD card pode traduzir-se diretamente numa invasão total.
O problema do mantenedor solitário
Aqui está o cerne do problema de segurança da cadeia de suprimentos. O FatFs é mantido por um único desenvolvedor, num canto discreto da internet. A runZero tentou contatá-lo repetidamente e envolveu o JPCERT/CC (centro de resposta a incidentes do Japão) no processo de divulgação responsável. Nenhuma resposta foi recebida até a data da publicação.
Isso significa que não existe correção upstream para seis das sete falhas. A única corrigida (CVE-2026-6684, o loop de GPT) foi resolvida na versão R0.16 do FatFs. As restantes dependem de cada fabricante que embute a biblioteca no seu firmware auditar o código, encontrar sua cópia local — frequentemente modificada e vendorizada — e produzir seu próprio patch. A runZero estima que essas correções downstream vão levar anos, não dias.
O precedente PixieFail
Este cenário tem um precedente preocupante. Em 2024, foram descobertas nove bugs no código de boot de rede do EDK II — o firmware por trás de muitas marcas de PC e servidores —, batizados de PixieFail. Os fabricantes foram lentos em corrigir. O FatFs tem o mesmo formato de problema e um pipeline de correção ainda mais fraco, porque não há um upstream responsivo.
A pesquisa também demonstra um padrão crescente: a IA está encontrando bugs que auditorias humanas perderam. No final de 2024, o agente Big Sleep do Google encontrou um bug de memória real e explorável no SQLite que o fuzzing tradicional tinha deixado passar. Em junho de 2026, um agente de IA autônomo descobriu 21 bugs de segurança de memória no FFmpeg, outra biblioteca C amplamente embarcada.
Como se proteger agora
Para quem constrói firmware que toca mídia FAT ou exFAT, o conselho é direto: encontre a cópia do FatFs no seu produto, audite o código wrapper ao redor dela, verifique cuidadosamente como lida com nomes de arquivo e tamanhos de arquivo, e planeje corrigir.
Para quem opera dispositivos afetados, trate portas físicas e canais de atualização como superfície de ataque:
- Limitar quem pode conectar mídia: restringir acesso físico a portas USB e slots de cartão SD em dispositivos públicos ou compartilhados.
- Monitorar atualizações de firmware do fabricante: quando um patch sair, aplicar imediatamente.
- Isolar dispositivos críticos: caixas eletrônicos, urnas eletrônicas e controladores industriais não devem aceitar mídia não confiável.
- Auditar código embarcado: se você é fabricante, considere ferramentas de IA para revisão de código — a runZero provou que funcionam.
Leia também
A descoberta das falhas no FatFs ilustra como a cadeia de suprimentos de software embarcado é frágil. Para entender outros casos de bibliotecas amplamente utilizadas com falhas graves, recomendamos a leitura: veja como o exploit de 732 bytes dava root em todo Linux e como a falha Bad Epoll no Linux dava root em celulares Android. Ambos os casos mostram o mesmo padrão: bugs antigos em código onipresente que ninguém pensou em rever.
Referências
- The Hacker News — Unpatched Flaws Disclosed in Filesystem Bundled Into Millions of Embedded Devices (3 jul. 2026)
- Cyber Security News — Multiple FatFs Vulnerabilities Expose Millions of Embedded Devices (4 jul. 2026)
- CyberNexora — FatFs Vulnerabilities: Millions of IoT Devices at Risk (5 jul. 2026)
- GitHub — runZero: vulns-2026-fatfs-chance (PoC e exploit)
- CyberPress — Seven FatFs Vulnerabilities Exposing Embedded Devices