Milyonlarca Cihazı Tehdit Eden Güvenlik Açıkları AI ile Ortaya Çıktı

runZero araştırmacıları, yapay zeka destekli araçlarla FatFs kütüphanesindeki yedi kritik güvenlik açığını keşfetti.

WBH Editör6 Temmuz 2026 ~2 dk okuma

Milyonlarca gömülü cihazı potansiyel saldırılara açık hale getiren yedi yeni güvenlik açığı, siber güvenlik dünyasında yankı uyandırdı. runZero araştırmacıları, yaygın olarak kullanılan FatFs dosya sistemi kütüphanesindeki bu zafiyetleri, kötü niyetli USB bellekler, SD kartlar ve hatta bazı durumlarda firmware güncelleme mekanizmaları aracılığıyla cihazlara sızma riski taşıdığı konusunda uyarıyor.

CVE-2026-6682'den CVE-2026-6688'e kadar uzanan bu güvenlik açıkları, orta ila yüksek şiddette derecelendiriliyor ve IoT, endüstriyel ve tüketici ürünlerinde sıklıkla karşımıza çıkan bir yazılım bileşenini etkiliyor. İşin ilginç yanı, bu keşiflerin arkasında yapay zeka destekli bir süreç yatması. runZero, yazılım tedarik zincirlerindeki 'uzun kuyruk' zafiyetlerini yapay zeka yardımıyla bulmayı hedefleyen daha geniş bir araştırma projesinin parçası olarak FatFs'i tekrar inceledi. Araştırmacılar, 2017'deki manuel incelemede sadece küçük sorunlar bulurken, Mart 2026'da GitHub Copilot kullanarak otomatik fuzzing araçları geliştirdiklerinde daha önce gözden kaçan birden fazla zafiyeti hızla tespit ettiler.

FatFs, C dilinde yazılmış kompakt, açık kaynaklı bir FAT/exFAT dosya sistemi uygulaması olup taşınabilirliği ve esnek lisanslaması sayesinde gömülü sistemler için adeta bir standart haline gelmiş durumda. Espressif ESP-IDF, STMicroelectronics STM32Cube, Zephyr RTOS gibi platformların yazılım geliştirme kitlerine doğrudan entegre edilmesi, bu zafiyetlerin etkisini alışılmadık derecede geniş bir alana yayıyor. En ciddi sorunlardan biri olan CVE-2026-6682 (CVSS 7.6), FAT32 bağlama sürecindeki bir tamsayı taşmasıyla özel olarak hazırlanmış bir dosya sistemi görüntüsünün belleği bozmasına ve potansiyel olarak rastgele kod yürütmesine olanak tanıyor. Diğer zafiyetler ise veri bozulması, bilgi sızdırma veya hizmet reddi gibi sonuçlara yol açabiliyor.

Çoğu saldırı senaryosu, saldırganın kötü niyetli FAT biçimli bir depolama aygıtı sağlamasını gerektiriyor. Bu da SD kartlar ve USB sürücüler gibi çıkarılabilir medyayı birincil dağıtım mekanizması haline getiriyor. Güvenlik kameraları, dronlar, endüstriyel kontrolörler, kripto cüzdanları, oy sistemleri ve ATM'ler gibi takılan medyayı otomatik olarak bağlayan cihazlar özellikle risk altında. Ayrıca, iki zafiyetin, cihazlar güncelleme görüntülerini bütünlüklerini doğrulamadan önce bağlarlarsa, kablosuz firmware güncelleme iş akışlarını da etkileyebileceği ve kötü güvence altına alınmış güncelleme boru hatlarında potansiyel uzaktan saldırı yolları oluşturabileceği belirtiliyor. Gömülü ekosistemin parçalı yapısı, bu sorunların giderilmesini zorlaştırıyor; zira FatFs genellikle projelere kopyalanıp yerel olarak değiştirildiği için, tedarikçilerin kendi ürünlerinde savunmasız sürümleri bağımsız olarak tespit etmeleri ve düzeltmeleri gerekiyor. runZero, bulgularını ve kavram kanıtlama kodunu yayınlayarak, satıcıların etkilenen ürünleri tanımlamalarına ve yamaları doğrulamalarına yardımcı olmayı amaçlıyor.

Bunlara da göz at