اكتشاف 7 ثغرات خطيرة في FatFs تهدد ملايين الأجهزة المدمجة

كشفت runZero عن سبع ثغرات خطيرة في مكتبة FatFs واسعة الانتشار، والتي تهدد ملايين الأجهزة المدمجة. تتطلب هذه الثغرات تدخلاً عاجلاً من الشركات المصنعة نظراً لغياب حلول علوية فورية.
مقدمة تحليلية
كشفت شركة runZero للأمن السيبراني مؤخراً عن سبع ثغرات أمنية حرجة ضمن مكتبة نظام الملفات FatFs، والتي تُعد مكوناً أساسياً مدمجاً في ملايين الأجهزة حول العالم. هذه المكتبة، المسؤولة عن قراءة وكتابة تنسيقات FAT وexFAT المستخدمة في وحدات USB وبطاقات SD، موجودة في عمق البرامج الثابتة التي تُشغل مجموعة واسعة من الأجهزة، تشمل الكاميرات الأمنية، الطائرات المسيرة، المتحكمات الصناعية، وحتى المحافظ الرقمية المادية التي تعتمد على أنظمة تشغيل الوقت الفعلي (RTOS). يُعد هذا الاكتشاف ذا أهمية قصوى نظراً لانتشار FatFs الواسع، مما يجعل عدداً لا يُحصى من الأجهزة عرضة للاستغلال. في أسوأ السيناريوهات، يمكن للمهاجمين الذين ينجحون في إدخال وسائط USB أو بطاقات SD أو ملفات تحديث مُعدّة خصيصاً إلى جهاز متأثر، إفساد ذاكرته وتنفيذ تعليمات برمجية مخصصة، مما يمنحهم سيطرة كاملة على الجهاز. وقد صنفت runZero هذه الثغرات بين متوسطة وعالية الخطورة، مؤكدة على غياب حلاً جذرياً للعديد منها.
تكمن خطورة هذه الثغرات في أن العديد من الأجهزة المدمجة تفتقر إلى آليات حماية الذاكرة المتطورة الموجودة في الهواتف الذكية وأجهزة الكمبيوتر المكتبية. وهذا يعني، وفقاً لـ runZero، أن "أي وصول مادي يؤدي إلى كسر الحماية" (any physical access leads to a jailbreak). فجهاز مثل كشك عام، أو كاميرا بها فتحة لبطاقة SD، أو جهاز صراف آلي (ATM)، أو آلة تصويت مزودة بمنفذ USB، لا ينبغي أن تُسلم سيطرتها الكاملة بعد لحظة من الوصول المادي، ولكن مع هذه الثغرات، يصبح هذا ممكناً.
التحليل التقني
تعمل جميع الثغرات السبع بنفس الطريقة الأساسية: يحاول الجهاز قراءة وحدة تخزين أو صورة برنامج ثابت تم تشكيلها بشكل متعمد، وتتعامل مكتبة FatFs مع هذه البيانات السيئة بطريقة خاطئة. وقد صنفت runZero هذه المجموعة من الثغرات بأنها تتراوح بين متوسطة وعالية الخطورة في نظام CVSS، ولم تُصنف أي منها على أنها حرجة. الثغرة الأبرز هي CVE-2026-6682 (CVSS 7.6)، وهي تجاوز للأعداد الصحيحة (integer overflow) في التعليمات البرمجية التي تُثبت وحدة تخزين FAT32. يمكن أن يؤدي هذا الخطأ الرياضي إلى إنتاج حجم ملف خاطئ، والذي تتعامل معه التعليمات البرمجية اللاحقة كطول قراءة حقيقي. على الأجهزة الفعلية، يمكن أن يتحول ذلك إلى إفساد للذاكرة وتنفيذ تعليمات برمجية.
تفاصيل الثغرات، مرتبة من الأعلى خطورة وفقاً لتقييم runZero:
- CVE-2026-6682 (7.6، عالية): تجاوز الأعداد الصحيحة عند تثبيت FAT32 يؤدي إلى إفساد الذاكرة واحتمال تنفيذ تعليمات برمجية. يمكن الوصول إليها أيضاً من خلال بعض تحديثات البرامج الثابتة، وليس فقط عبر الوسائط المادية.
- CVE-2026-6687 (7.6، عالية): تجاوز لحقل تسمية وحدة تخزين exFAT لمخزن مؤقت صغير، مما يمنح المهاجم موطئ قدم نظيفاً لتلف الذاكرة.
- CVE-2026-6688 (7.6، عالية): تجاوز طول أسماء الملفات التعليمات البرمجية التي تلتف حول FatFs (مثل strcpy لـ fno.fname في مخزن مؤقت ثابت). يصعب إصلاحها داخل FatFs وحدها.
- CVE-2026-6685 (6.1، متوسطة): خطأ حسابي في معالجة التخزين المؤقت على وحدات التخزين المجزأة يمكن أن يفسد البيانات بصمت.
- CVE-2026-6683 (4.6، متوسطة): قسمة على صفر في exFAT تتسبب في تعطل الجهاز. في مسار التحديث، يمكن أن تُعطل الجهاز تماماً. يمكن الوصول إليها أيضاً من خلال بعض تحديثات البرامج الثابتة.
- CVE-2026-6686 (4.6، متوسطة): ملف ممتد بعد نهايته يمكن أن يسرب بيانات متبقية من ملفات محذوفة سابقاً.
- CVE-2026-6684 (4.6، متوسطة): جدول تقسيم GPT مشوه (خريطة القرص) يمكن أن يعلق الجهاز أثناء التثبيت. وهذه هي الثغرة الوحيدة من السبع التي تم إصلاحها في الإصدار FatFs R0.16.
الجزء الأصعب يكمن في أن مكتبة FatFs يتم صيانتها بواسطة مطور واحد في زاوية صغيرة من الإنترنت. وقد أفادت runZero أنها حاولت مراراً وتكراراً التواصل مع المطور، وتدخل مركز التنسيق الياباني JPCERT/CC، ولكن دون استجابة. وفقاً لـ runZero، لا يوجد إصلاح جذري لثغرات إفساد الذاكرة، ولا توجد قائمة بريدية أمنية، ولا توجد طريقة للعديد من المنتجات التي تدمج FatFs لمعرفة أنها متأثرة. يساعد التحديث في مشكلة تعليق GPT، حيث يمنعها الإصدار الحالي، لكن باقي الثغرات تقع على عاتق البائعين النهائيين لإصلاحها بأنفسهم. ومن بين المنصات المتأثرة التي ذكرتها runZero: Espressif ESP-IDF، STMicroelectronics STM32Cube، Zephyr، MicroPython، ArduPilot، RT-Thread، Mbed، Samsung TizenRT، ومحدث SWUpdate. وهذا يدفع المشكلة إلى أجهزة إنترنت الأشياء الاستهلاكية، والمعدات الصناعية، والطائرات المسيرة، والمحافظ الرقمية.
السياق وتأثير السوق
على الرغم من عدم الإبلاغ عن أي هجمات تستخدم هذه الثغرات حتى تاريخ إفصاح runZero في 1 يوليو، إلا أن المواد اللازمة للاستغلال متاحة بالفعل للعموم. فقد نشرت runZero صور أقراص إثبات المفهوم (proof-of-concept disk images)، وبيئة اختبار (test harness)، ومثالاً عملياً للاستغلال يعتمد على QEMU في مستودع مرافق. وهذا يؤكد على أن التهديد وشيك وأن استغلال هذه الثغرات يمكن أن يبدأ في أي لحظة، خاصة مع عدم وجود مسار واضح للإصلاح.
يثير هذا الوضع تساؤلات حول مدى انتشار الثغرات غير المكتشفة في المكتبات البرمجية مفتوحة المصدر، لا سيما تلك التي تُعد حيوية للعديد من الأجهزة. وقد قامت runZero في عام 2017 بمراجعة FatFs يدوياً ولم تجد الكثير مما يستحق الإبلاغ عنه. لكن عند عودتها في مارس 2026، استخدم الفريق إعداداً جاهزاً: Visual Studio Code، وGitHub Copilot في الوضع التلقائي، وبعض الأوامر البسيطة. قامت نماذج اللغة الكبيرة (LLMs) ببناء أداة فحص (fuzzer)، وهي أداة تُدخل بيانات مشوهة إلى التعليمات البرمجية حتى يتعطل شيء ما. وقد كشف ذلك عن الأخطاء التي فاتتها المراجعة اليدوية وساعد في تأكيد قابليتها للاستغلال. يتناسب هذا مع نمط متزايد؛ ففي أواخر عام 2024، عثر وكيل Google Big Sleep للذكاء الاصطناعي على خطأ حقيقي قابل للاستغلال في الذاكرة في SQLite، وهو خطأ لم تكتشفه تقنيات الـ fuzzing العادية. وفي الشهر الماضي فقط، اكتشف وكيل ذكاء اصطناعي مستقل 21 ثغرة أمنية في FFmpeg، وهي مكتبة C أخرى مدمجة على نطاق واسع. تشير runZero بوضوح إلى أنه إذا تمكنت أدوات الذكاء الاصطناعي شبه الجاهزة من العثور على هذه الثغرات، فيمكن لأي شخص آخر ذلك، لذا فإن السكوت عليها لا يحمي أحداً.
تُعد مشكلة التحديث (patching problem) مألوفة. تتوقع runZero أن تستغرق الإصلاحات من البائعين النهائيين سنوات، وليس أياماً، ويُعتبر PixieFail سابقة لذلك: مجموعة من تسع ثغرات في عام 2024 في التعليمات البرمجية للتشغيل عبر الشبكة لـ EDK II، وهي البرامج الثابتة التي تدعم العديد من أجهزة الكمبيوتر الشخصية والخوادم، والتي تأخر البائعون في إصلاحها. تتخذ FatFs نفس الشكل ولديها مسار إصلاح أضعف، لأنه لا يوجد مطور أساسي متجاوب على الإطلاق. وهذا يُعقد من جهود الأمن السيبراني بشكل كبير.
رؤية Glitch4Techs
تُسلط هذه الثغرات الضوء على مفترق طرق حرج في أمن الأجهزة المدمجة وإدارة البرمجيات مفتوحة المصدر. إن غياب مطور أساسي متجاوب لمكتبة بالغة الأهمية مثل FatFs يُشكل تحدياً أمنياً فريداً ومقلقاً. إنه يترك الشركات المصنعة للأجهزة في موقف صعب، حيث يتعين عليها أن تتحمل عبء تطوير وإصدار التصحيحات لمنتجاتها الخاصة، وهي عملية تستغرق وقتاً طويلاً ومكلفة، وقد تستغرق سنوات حتى تكتمل، إن تمت على الإطلاق. وهذا يعني أن ملايين الأجهزة المنتشرة حالياً في البنية التحتية الحرجة، والمنازل الذكية، والتطبيقات الصناعية، ستظل عرضة للهجمات لفترة طويلة.
من منظور Glitch4Techs، يجب على الشركات التي تُصنع البرامج الثابتة وتتعامل مع وسائط FAT أو exFAT أن تُراجع نسخ FatFs في منتجاتها، وأن تُدقق التعليمات البرمجية التي تحيط بها، وأن تُمعن النظر في كيفية التعامل مع أسماء الملفات وأحجامها، وتضع خطة للتحديث. بالنسبة لمستخدمي الأجهزة المتأثرة، يجب التعامل مع المنافذ المادية وقنوات التحديث على أنها أسطح هجوم محتملة: تحديد من يمكنه توصيل الوسائط، ومراقبة تحديثات البرامج الثابتة من البائعين. إن الوعد بالذكاء الاصطناعي في الكشف عن الثغرات، كما يتضح من حالة FatFs وSQLite وFFmpeg، يُعد سيفاً ذا حدين. فبقدر ما يُسرع الذكاء الاصطناعي من اكتشاف الثغرات، فإنه أيضاً يُسرع من وصول معلومات الاستغلال للمهاجمين. وهذا يتطلب استجابة أسرع وأكثر تنسيقاً من مجتمع الأمن والشركات المصنعة.
نتوقع مراقبة أمرين رئيسيين: ما إذا كان مطور FatFs سيعاود الظهور مع حل، وكيف ستستجيب الشركات الكبرى التي تدمج هذه المكتبة. حتى ذلك الحين، يجب الافتراض أن الكثير من الأجهزة الموجودة حالياً تتعامل مع وحدات تخزين غير موثوق بها باستخدام تعليمات برمجية لا يوجد لها حل جذري. وهذا يؤكد على الحاجة الماسة إلى استراتيجيات دفاع عميقة، ومراجعات أمنية منتظمة، وتبني نماذج أمان أكثر مرونة تتوقع الفشل وتستعد له.
كن أول من يعرف بمستقبل التقنية
أهم الأخبار والتحليلات التقنية مباشرة في بريدك.



