La empresa de seguridad runZero ha revelado siete vulnerabilidades en FatFs, una pequeña biblioteca de sistema de archivos que permite a un dispositivo leer y escribir los formatos FAT y exFAT utilizados en unidades USB y tarjetas SD.
Los defectos son importantes porque los FatF están en casi todas partes. Se envía dentro del firmware que ejecuta cámaras de seguridad, drones, controladores industriales, billeteras criptográficas de hardware y otros dispositivos integrados en sistemas operativos en tiempo real.
En los sistemas más afectados, un atacante que introduce una unidad USB, una tarjeta SD o un archivo de actualización con trampa explosiva en un dispositivo puede dañar su memoria y ejecutar su propio código.
Muchos dispositivos integrados carecen de las protecciones de memoria que se encuentran en los teléfonos y computadoras de escritorio, razón por la cual runZero dice que “cualquier acceso físico conduce a un jailbreak”. Un quiosco público, una cámara con ranura SD, un cajero automático o una máquina de votación con puerto USB no deberían ceder el control total después de un momento de acceso físico, pero aquí sí pueden.
Los siete errores funcionan de la misma manera básica. El dispositivo intenta leer un volumen de almacenamiento o una imagen de firmware que ha sido deliberadamente mal formado y FatFs maneja mal los datos incorrectos. runZero calificó el conjunto CVSS de medio a alto, sin críticas.
El error principal es CVE-2026-6682 (CVSS 7.6), un desbordamiento de enteros en el código que monta un volumen FAT32. Los malos cálculos pueden producir un tamaño de archivo falso, que el código posterior trata como una longitud de lectura real. En hardware real, esto puede convertirse en corrupción de memoria y ejecución de código.
Aquí están los siete, los peores primero según la clasificación de runZero:
- CVE-2026-6682 (7.6, Alto): Desbordamiento de enteros de montaje FAT32 que provoca daños en la memoria y posible ejecución de código. Accesible a través de algunas actualizaciones de firmware, no solo de medios físicos.
- CVE-2026-6687 (7.6, Alto): un campo de etiqueta de volumen exFAT desborda un pequeño búfer, lo que le da al atacante un punto de apoyo limpio para la corrupción de la memoria.
- CVE-2026-6688 (7.6, Alto): Los nombres de archivos largos desbordan el código contenedor que muchos proyectos colocan alrededor de FatF, como un strcpy de fno.fname en un búfer fijo. Es difícil de solucionar solo dentro de los FatF.
- CVE-2026-6685 (6.1, Medio): un ajuste matemático en el manejo de caché en volúmenes fragmentados que pueden corromper datos silenciosamente.
- CVE-2026-6683 (4.6, Medio): una división exFAT por cero que bloquea el dispositivo. En un flujo de actualización, puede bloquear el hardware. También se puede acceder a través de algunas actualizaciones de firmware.
- CVE-2026-6686 (4.6, Medio): un archivo extendido más allá de su final puede filtrar datos sobrantes de archivos eliminados previamente.
- CVE-2026-6684 (4.6, Medio): una tabla de particiones GPT mal formada (el mapa del disco) puede bloquear el dispositivo durante el montaje. Es el único de los siete fijados en sentido ascendente, en FatFs R0.16.
Aquí está la parte difícil. FatFs es mantenido por un desarrollador en un pequeño rincón de Internet, y runZero dice que intentó repetidamente comunicarse con el mantenedor y se conectó con el centro de coordinación JPCERT/CC de Japón, sin respuesta.
Según runZero, no existe una solución inicial para los errores de corrupción de memoria, no hay una lista de correo de seguridad y no hay forma de que los muchos productos que incluyen FatF sepan que están afectados. La actualización ayuda con el bloqueo de GPT, ya que la versión actual lo bloquea, pero el resto corresponde a los proveedores intermedios para parchearlo por su cuenta.
runZero nombra las plataformas afectadas, incluidas Espressif ESP-IDF, STMicroelectronics STM32Cube, Zephyr, MicroPython, ArduPilot, RT-Thread, Mbed, Samsung TizenRT y el actualizador SWUpdate. Eso lleva el problema al IoT de consumo, los equipos industriales, los drones y las carteras criptográficas.
Hasta la divulgación de runZero el 1 de julio, no se habían reportado ataques que utilizaran estos errores y ninguno ha aparecido desde entonces. Pero el material del exploit ya es público: runZero envió imágenes de disco de prueba de concepto, un arnés de prueba y un ejemplo funcional de exploit basado en QEMU en un repositorio complementario.
Si crea firmware que toca medios FAT o exFAT, el consejo es directo. Encuentre la copia de FatF en su producto, audite el código contenedor que la rodea, observe detenidamente cómo maneja los nombres y tamaños de los archivos y planee aplicar parches.
Si ejecuta dispositivos afectados, trate los puertos físicos y los canales de actualización como una superficie de ataque: limite quién puede conectar medios y esté atento a las actualizaciones de firmware de los proveedores.
¿Por qué esto sigue sucediendo?
runZero auditó manualmente los FatF por primera vez en 2017 y encontró que poco valía la pena informar. Al regresar en marzo de 2026, el equipo señaló una configuración lista para usar con el mismo código: Visual Studio Code, GitHub Copilot en modo “automático” y algunas indicaciones sencillas.
El LLM creó un fuzzer, una herramienta que introduce datos mal formados en el código hasta que algo se rompe. Eso sacó a la luz errores que la auditoría manual había pasado por alto y ayudó a confirmar que eran explotables.
Eso se ajusta a un patrón creciente. A finales de 2024, el agente Big Sleep de Google encontró un error de memoria real y explotable en SQLite que la fuzzing ordinaria no había detectado.
El mes pasado, un agente autónomo de IA descubrió 21 errores de seguridad de la memoria en FFmpeg, otra biblioteca C ampliamente integrada. El punto de runZero es contundente: si un canal de IA en su mayoría disponible en el mercado puede encontrarlos, cualquiera también puede hacerlo, por lo que sentarse en ellos silenciosamente no protege a nadie.
El problema de los parches es familiar. runZero espera que las correcciones posteriores lleven años, no días, y PixieFail es el precedente: un lote de nueve errores en 2024 en el código de arranque de red de EDK II, el firmware detrás de muchas marcas de PC y servidores, que los proveedores tardaron en parchar. Los FatF tienen la misma forma y un canal de solución más débil, porque no hay ninguna respuesta ascendente.
Esté atento a dos cosas: si el mantenedor de FatFs resurge con un parche y cómo responden los grandes proveedores de plataformas que lo agrupan. Hasta que lo hagan, supongamos que muchos dispositivos de envío leen almacenamiento que no es de confianza con un código que no tiene solución.



