Sept vulnérabilités critiques découvertes dans une bibliothèque filesystem omniprésente

Une faille critique dans les fondations de nombreux systèmes embarqués vient d’être révélée. Le cabinet de sécurité runZero a dévoilé sept vulnérabilités non corrigées dans FatFs, une bibliothèque filesystem compacte permettant aux appareils de lire et d’écrire des disques formatés en FAT et exFAT, comme les clés USB ou les cartes SD. Étant intégrée au micrologiciel de caméras de surveillance, de contrôleurs industriels, de drones et même de portefeuilles crypto matériels, l’impact s’étend à plusieurs secteurs et régions.
Qu’est-ce que FatFs et pourquoi est-ce important ?
FatFs est une bibliothèque open source légère, conçue pour les systèmes embarqués aux ressources limitées. Elle permet aux appareils de gérer les systèmes de fichiers FAT12/16/32 et exFAT sans nécessiter un système d’exploitation complet. Grâce à son empreinte réduite et sa compatibilité étendue, elle est devenue un choix par défaut pour les fabricants développant des appareils devant stocker ou échanger des données via un stockage amovible. Des moniteurs médicaux aux unités d’infodivertissement automobile, FatFs alimente discrètement des fonctionnalités sur lesquelles des millions de personnes se reposent chaque jour.
Les risques en jeu
La divulgation de runZero met en lumière le fait que ces vulnérabilités peuvent être exploitées via des fichiers spécialement conçus sur des dispositifs de stockage externes. Un attaquant disposant d’un accès physique – ou contrôlant des supports amovibles – pourrait exploiter ces failles pour exécuter du code arbitraire, faire planter l’appareil ou fuir des informations sensibles. Bien que des mises à jour du micrologiciel pourraient atténuer ces problèmes, de nombreux appareils ne sont pas conçus pour être facilement patchés, en particulier les systèmes grand public ou hérités. L’absence de mécanismes de mise à jour intégrés augmente le risque d’exposition à long terme.
Que faire pour les développeurs et les utilisateurs ?
Pour l’instant, la meilleure défense repose sur les fabricants d’appareils. Ceux-ci doivent auditer leur utilisation de FatFs, appliquer les correctifs disponibles auprès des mainteneurs de la bibliothèque, et envisager d’isoler la logique de gestion du stockage dans des environnements sécurisés. Les utilisateurs finaux doivent s’assurer que leurs appareils exécutent la dernière version du micrologiciel et éviter d’insérer des supports de stockage non fiables. La leçon générale est claire : même les composants petits et largement utilisés peuvent introduire des risques systémiques s’ils ne sont pas surveillés.
Source : The Hacker News. Synthèse éditoriale assistée par IA — TechnoExpress.

