Una dipendenza che quasi nessuno vede

Il 1 luglio 2026 la società di sicurezza runZero ha divulgato sette vulnerabilità in FatFs, una piccola libreria che permette a un dispositivo di leggere e scrivere i formati FAT ed exFAT usati su unità USB e schede SD. È uno di quei pezzi di codice che sono ovunque e visibili quasi a nessuno. Viaggia nel firmware di telecamere di sicurezza, droni, controllori industriali, wallet cripto hardware, chioschi pubblici, bancomat e macchine per il voto con porta USB.

Tre delle falle sono classificate ad alta gravità. CVE-2026-6682 è un overflow di interi durante il montaggio di un volume FAT32; CVE-2026-6687 fa traboccare un buffer tramite l'etichetta di un volume exFAT; CVE-2026-6688 fa traboccare il codice wrapper che molti prodotti aggiungono attorno a FatFs. Su hardware reale, le peggiori tra queste diventano corruzione della memoria ed esecuzione di codice. La libreria arriva in questi prodotti tramite toolkit diffusi, Espressif ESP-IDF, STMicroelectronics STM32Cube, Zephyr, MicroPython, ArduPilot, RT-Thread, Mbed, Samsung TizenRT e l'aggiornatore SWUpdate, ed è proprio per questo che tanti fornitori non sapranno ancora di essere nel raggio d'azione.

L'accesso fisico è il punto, non la scusa

Alcuni liquideranno la cosa dicendo che serve l'accesso fisico. Per le categorie di dispositivi colpite, quella è la vulnerabilità, non una mitigazione. Una telecamera di sicurezza, un chiosco pubblico, un bancomat, una macchina per il voto: l'intera promessa di progetto è che un membro del pubblico possa toccarlo, o collegarci qualcosa, senza comprometterlo. Queste falle infrangono quella promessa. Un attaccante con un'unità USB, una scheda SD o un file di aggiornamento manomessi può corrompere la memoria ed eseguire codice.

Due delle falle, l'overflow di FAT32 e una divisione per zero in exFAT, sono raggiungibili anche tramite gli aggiornamenti del firmware via etere. Ciò allarga l'esposizione da chi sta in piedi davanti alla macchina a chiunque possa influenzare il canale di aggiornamento, e significa che un aggiornamento fallito può rendere inservibile l'hardware sul campo. runZero ha pubblicato immagini disco di proof of concept, un banco di prova e un exploit funzionante basato su QEMU, per cui il materiale che servirebbe a un attaccante è già allo scoperto.

Quando la correzione non ha un proprietario

Il nucleo scomodo di questa storia è la manutenzione. FatFs è tenuta da un solo sviluppatore, e runZero dice di aver tentato ripetutamente di raggiungere quel manutentore e di aver coinvolto il centro di coordinamento JPCERT/CC del Giappone, senza risposta. Solo una delle sette falle, un blocco per negazione del servizio, è corretta ufficialmente nella versione R0.16. I sei problemi di corruzione della memoria non hanno una patch ufficiale, né una mailing list di sicurezza, né alcun meccanismo perché i molti prodotti che includono FatFs sappiano di essere colpiti.

Ecco come appare davvero il rischio moderno della catena di fornitura per gli asset fisici. Non una violazione da prima pagina, ma un componente portante con un unico punto di guasto umano, incorporato così in profondità che le aziende che lo distribuiscono non riescono a elencare la propria esposizione. Il metodo di scoperta sottolinea come sia cambiato l'equilibrio: runZero le ha trovate a marzo 2026 con un fuzzer assistito dall'IA disponibile senza fatica, un lavoro che una verifica manuale anni prima aveva mancato. Gli strumenti per trovare queste falle sono ormai economici e alla portata di tutti, il che significa che anche gli attaccanti li hanno.

Cosa dovrebbe pretendere un proprietario

Non puoi uscirne a colpi di patch dall'esterno, quindi rendilo una questione di acquisti e di gestione dei fornitori. Per qualsiasi flotta di dispositivi connessi o embedded, telecamere, controllori, chioschi, wallet, poni a ciascun fornitore una domanda diretta: il tuo firmware usa FatFs, quale versione, e qual è il tuo piano per i sei CVE senza patch? Un fornitore che non sa rispondere in fretta ti sta dicendo qualcosa sulla propria visibilità del proprio codice.

Internamente, tratta le porte fisiche e i canali di aggiornamento come superficie d'attacco viva. Limita chi può collegare supporti ai dispositivi esposti, e verifica che gli aggiornamenti del firmware siano firmati e validati prima di essere applicati. La guida di runZero ai team di ingegneria, verifica la tua versione incorporata, verifica i tuoi wrapper, verifica la tua gestione dei nomi e delle dimensioni dei file, è la lista da consegnare a qualsiasi fornitore che costruisca hardware per te.