كشفت شركة الأمن السيبراني الشهيرة runZero عن تفاصيل مثيرة لسبع ثغرات أمنية خطيرة في مكتبة FatFs، وهي مكتبة نظام ملفات (Filesystem) صغيرة الحجم لكنها واسعة الانتشار، حيث تُتيح للأجهزة قراءة وكتابة صيغ FAT و exFAT المستخدمة في وحدات التخزين USB وبطاقات الذاكرة SD.
لماذا يُعد هذا الاكتشاف مرعباً؟
مكتبة FatFs ليست مجرد كود عابر، بل هي موجودة في كل مكان تقريباً! إنها مدمجة داخل البرمجيات الثابتة (Firmware) التي تُشغل كاميرات المراقبة، الطائرات بدون طيار (Drones)، أجهزة التحكم الصناعية، وحتى محافظ العملات الرقمية الصلبة (Hardware Crypto Wallets)، وغيرها من الأجهزة التي تعتمد على أنظمة التشغيل في الوقت الفعلي (RTOS).
في الأنظمة الأكثر تضرراً، يمكن للمهاجم الذي يمتلك فلاشة USB أو بطاقة SD "ملغومة"، أو حتى عبر ملف تحديث خبيث، أن يتسبب في تخريب الذاكرة (Memory Corruption) وتشغيل كود برمجائي خاص به (Code Execution). وبما أن معظم الأجهزة المدمجة تفتقر إلى حماية الذاكرة الموجودة في الهواتف والكمبيوترات، فإن "أي وصول مادي للجهاز يعني اختراقه بالكامل (Jailbreak)".
كيف تعمل الثغرات السبع؟ (والذكاء الاصطناعي هو البطل!)
تعتمد جميع الثغرات على نفس الآلية: يحاول الجهاز قراءة وحدة تخزين أو ملف تحديث تم التلاعب به وتشويهه عمداً، فتفشل مكتبة FatFs في التعامل مع هذه البيانات الخبيثة. صُنفت الثغرات بين "متوسطة" إلى "عالية" الخطورة وفق مقياس CVSS.
وأبرز هذه الثغرات:
CVE-2026-6682 (الخطورة: 7.6): فيضان عددي (Integer Overflow) أثناء تحميل أقسام FAT32، يؤدي لتخريب الذاكرة وإمكانية تنفيذ أكواد خبيثة (يمكن الوصول إليها عبر التحديثات وليس فقط الوسائط المادية).
CVE-2026-6687 (الخطورة: 7.6): فيضان في حقل تسمية قسيمة exFAT يمنح المهاجم موطئ قدم لتخريب الذاكرة.
CVE-2026-6688 (الخطورة: 7.6): أسماء الملفات الطويلة تتسبب في فيضان الكود البرمجي المحيط بالمكتبة.
ثغرات أخرى (بين 4.6 و 6.1): تتنوع بين التسبب في انهيار الجهاز بالكامل (Crash) وتحويله إلى "جثة خامدة" (Brick)، أو تسريب بيانات ملفات محذوفة سابقاً.
نقطة تحول: المثير للدهشة هو أن runZero فحصت هذا الكود يدوياً عام 2017 ولم تجد شيئاً. لكن عند عودتها في مارس 2026 باستخدام أدوات مؤتمتة مدعومة بالذكاء الاصطناعي مثل GitHub Copilot وبناء أداة فحص ذكية (Fuzzer)، تمكنت الآلة من اكتشاف هذه الثغرات التي غفل عنها البشر، مما يثبت أن المخترقين يمكنهم استخدام نفس الأسلوب الآن.
معضلة الترقيع (The Patching Problem)
هنا تكمن المشكلة الأكبر؛ مكتبة FatFs يقوم على صيانتها وتطويرها شخص واحد فقط في زاوية صغيرة من الإنترنت! حاولت شركة runZero مراراً وتكراراً التواصل معه، واستعانت بمركز التنسيق الياباني JPCERT/CC، ولكن دون أي رد.
هذا يعني أنه لا يوجد إصلاح رسمي (Upstream Fix) لثغرات تخريب الذاكرة حتى الآن، ولا توجد قائمة بريدية أمنية لتحذير المطورين. الثغرة الوحيدة التي تم إصلاحها في النسخة الأخيرة (FatFs R0.16) هي ثغرة تعليق الجهاز عبر جداول GPT الخبيثة.
ونتيجة لذلك، يقع عبء الترقيع الآن على عاتق الشركات المصنعة للأجهزة (Downstream Vendors). ومن أبرز المنصات المتأثرة التي تدمج هذه المكتبة:
Espressif ESP-IDF
STMicroelectronics STM32Cube
Zephyr
MicroPython / ArduPilot
نصيحة "هاكابل" للمطورين والمستخدمين:
حتى لحظة نشر التقرير، لم يتم رصد أي هجمات حقيقية تستغل هذه الثغرات، ولكن أكواد إثبات المفهوم (PoC) وأدوات الاستغلال أصبحت متاحة علناً في مستودع runZero.
إذا كنت مطور برمجيات ثابتة (Firmware Developer): ابحث فوراً عن نسخة FatFs في منتجك، وراجع الأكواد المحيطة بها (Wrapper Code)، ودقق في كيفية التعامل مع أسماء وأحجام الملفات، وابدأ بوضع رقع أمنية خاصة بك.
إذا كنت مستخدماً أو مسؤول أنظمة: تعامل مع المنافذ المادية (USB/SD) وقنوات التحديث كسطح هجوم خطير. حدد الصلاحيات الفيزيائية للوصول للأجهزة، وراقب بحذر أي تحديثات أمنية تصدرها الشركات المصنعة لترقيع أجهزتك.

