Falhas sem correção são reveladas em filesystem presente em milhões de dispositivos embarcados
6 de Julho de 2026

A empresa de segurança runZero divulgou sete vulnerabilidades no FatFs, uma biblioteca enxuta de sistema de arquivos que permite a dispositivos ler e gravar os formatos FAT e exFAT usados em pendrives e cartões SD.

As falhas chamam atenção porque o FatFs está praticamente por toda parte.

Ele vem embutido no firmware que roda em câmeras de segurança, drones, controladores industriais, carteiras de criptomoedas em hardware e outros dispositivos baseados em sistemas operacionais de tempo real.

Nos sistemas mais afetados, um invasor que consiga inserir em um dispositivo um pendrive, cartão SD ou arquivo de atualização adulterado pode corromper a memória e executar código próprio.

Muitos dispositivos embarcados não contam com as proteções de memória presentes em celulares e computadores.

Por isso, a runZero afirma que “qualquer acesso físico leva a um jailbreak”.

Um quiosque público, uma câmera com entrada para cartão SD, um caixa eletrônico ou uma máquina de votação com porta USB não deveriam entregar controle total após um breve acesso físico, mas, neste caso, isso pode acontecer.

As sete falhas exploram basicamente o mesmo caminho.

O dispositivo tenta ler um volume de armazenamento ou uma imagem de firmware que foi deliberadamente corrompida, e o FatFs trata os dados inválidos de forma incorreta.

A runZero classificou o conjunto entre CVSS Médio e Alto, sem nenhum caso Crítico.

O principal problema é o CVE-2026-6682 , com CVSS 7,6, um overflow de inteiro no código que monta um volume FAT32.

Um cálculo errado pode produzir um tamanho falso de arquivo, que depois é tratado por outro código como se fosse um valor real de leitura.

Em hardware real, isso pode resultar em corrupção de memória e execução de código.

Confira as sete falhas, da mais grave para a menos grave segundo o ranking da runZero:

- CVE-2026-6682 , 7,6, Alto: overflow de inteiro na montagem de FAT32 que leva à corrupção de memória e possível execução de código.

Pode ser explorado por algumas atualizações de firmware, e não apenas por mídia física.
- CVE-2026-6687 , 7,6, Alto: um campo de rótulo de volume exFAT estoura um pequeno buffer, abrindo uma via direta para corrupção de memória.
- CVE-2026-6688 , 7,6, Alto: nomes de arquivos longos estouram o código de encapsulamento que muitos projetos colocam ao redor do FatFs, como um strcpy de fno.fname para um buffer fixo.

É difícil corrigir isso apenas dentro do FatFs.
- CVE-2026-6685 , 6,1, Médio: uma falha de wrap em cálculos no tratamento de cache em volumes fragmentados que pode corromper dados silenciosamente.
- CVE-2026-6683 , 4,6, Médio: um divide-by-zero em exFAT que derruba o dispositivo.

Em um fluxo de atualização, isso pode inutilizar o equipamento.

Também pode ser explorado por algumas atualizações de firmware.
- CVE-2026-6686 , 4,6, Médio: um arquivo estendido além do fim pode vazar dados remanescentes de arquivos apagados anteriormente.
- CVE-2026-6684 , 4,6, Médio: uma tabela de partição GPT malformada, o mapa do disco, pode travar o dispositivo durante a montagem.

É a única das sete que foi corrigida na versão original, no FatFs R0.16.

O problema mais difícil está fora do código em si.

O FatFs é mantido por um único desenvolvedor, em um canto pouco visível da internet, e a runZero diz ter tentado várias vezes contatar o responsável, além de acionar o centro de coordenação JPCERT/CC, no Japão, sem resposta.

Segundo a empresa, não há correção original para as falhas de corrupção de memória, não existe uma lista de e-mails de segurança e não há um canal simples para avisar os muitos produtos que incorporam o FatFs de que estão expostos.

A atualização ajuda a conter a falha de travamento ligada ao GPT, já que a versão atual bloqueia esse problema, mas as demais dependem de correções feitas por fornecedores downstream.

A runZero cita plataformas afetadas como Espressif ESP-IDF, STMicroelectronics STM32Cube, Zephyr, MicroPython, ArduPilot, RT-Thread, Mbed, Samsung TizenRT e o atualizador SWUpdate.

Isso empurra o impacto para dispositivos de IoT de consumo, equipamentos industriais, drones e carteiras de criptomoedas.

Até a divulgação feita pela runZero em 1º de julho, não havia relatos de ataques usando essas falhas, e nada surgiu desde então.

Mas o material de exploração já é público.

A empresa disponibilizou imagens de disco com prova de conceito, um ambiente de testes e um exemplo funcional de exploit baseado em QEMU em um repositório complementar.

Para quem desenvolve firmware que interage com mídia FAT ou exFAT, a orientação é direta.

Encontre a cópia do FatFs no produto, audite o código de encapsulamento ao redor dele, revise com cuidado o tratamento de nomes de arquivos e tamanhos de arquivo e prepare a correção.

Para quem usa dispositivos afetados, portas físicas e canais de atualização devem ser tratados como superfície de ataque.

É preciso restringir quem pode conectar mídias e acompanhar com atenção as atualizações de firmware fornecidas pelos fabricantes.

Por que isso continua acontecendo

A runZero auditou o FatFs manualmente pela primeira vez em 2017 e encontrou pouco que merecesse relatório.

Ao retomar o trabalho em março de 2026, a equipe usou uma configuração pronta, com Visual Studio Code, o GitHub Copilot em modo automático e alguns comandos simples.

O modelo de linguagem criou um fuzzer, uma ferramenta que injeta dados corrompidos no código até encontrar uma falha.

Isso revelou bugs que a auditoria manual não havia detectado e ajudou a confirmar que eles eram exploráveis.

Esse resultado acompanha uma tendência crescente.

No fim de 2024, o agente Big Sleep, do Google, encontrou uma falha real e explorável de memória no SQLite, que o fuzzing tradicional havia deixado passar.

No mês passado, um agente autônomo de IA identificou 21 falhas de segurança de memória no FFmpeg, outra biblioteca C amplamente embutida em sistemas.

O ponto da runZero é direto: se um pipeline de IA em boa parte pronto para uso consegue encontrar essas falhas, qualquer pessoa pode fazer o mesmo.

Portanto, esconder os problemas não protege ninguém.

O desafio da correção é conhecido.

A runZero espera que as correções downstream levem anos, e o PixieFail é o precedente.

Em 2024, um conjunto de nove falhas no código de inicialização de rede do EDK II, o firmware por trás de muitas marcas de PCs e servidores, demorou para ser corrigido pelos fabricantes.

O FatFs tem a mesma estrutura, mas uma cadeia de correção ainda mais fraca, porque não há um upstream responsivo.

Vale observar duas frentes: se o mantenedor do FatFs reaparecer com um patch e como os grandes fornecedores de plataforma que o incorporam vão reagir.

Até lá, o cenário é o de muitos dispositivos em produção lendo armazenamento não confiável com código sem correção disponível.

Publicidade

Anuncie no CaveiraTech e coloque sua marca na frente de milhares de profissionais de cybersecurity

Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...