Back to Blog

เผยช่องโหว่ FatFs กระทบอุปกรณ์ฝังตัวหลายล้านชิ้น

runZero เปิดเผยช่องโหว่ 7 รายการใน FatFs ไลบรารีระบบไฟล์ที่ฝังอยู่ในอุปกรณ์นับล้านชิ้น ตั้งแต่กล้องวงจรปิด โดรน ไปจนถึงฮาร์ดแวร์วอลเล็ต

Sales
1 min read
เผยช่องโหว่ FatFs กระทบอุปกรณ์ฝังตัวหลายล้านชิ้น

บริษัทรักษาความปลอดภัยทางไซเบอร์ runZero ได้เปิดเผยช่องโหว่ด้านความปลอดภัยจำนวน 7 รายการใน FatFs ซึ่งเป็นไลบรารีระบบไฟล์ขนาดเล็กที่ช่วยให้อุปกรณ์สามารถอ่านและเขียนข้อมูลในรูปแบบ FAT และ exFAT ที่ใช้กันทั่วไปในไดรฟ์ USB และการ์ด SD

ช่องโหว่เหล่านี้มีความสำคัญอย่างมากเนื่องจาก FatFs ถูกนำไปใช้ในวงกว้าง โดยบรรจุอยู่ในเฟิร์มแวร์ของอุปกรณ์หลากหลายประเภท อาทิ กล้องวงจรปิด โดรน คอนโทรลเลอร์อุตสาหกรรม กระเป๋าเงินคริปโตเคอเรนซี และอุปกรณ์อื่นๆ ที่สร้างขึ้นบนระบบฝังตัว



ที่มาของช่องโหว่และผลกระทบ


ช่องโหว่ที่ค้นพบโดย runZero เกี่ยวข้องกับวิธีการที่ FatFs จัดการกับการทำงานของระบบไฟล์ ซึ่งอาจทำให้ผู้โจมตีสามารถโจมตีอุปกรณ์ที่ใช้ไลบรารีนี้ผ่านสื่อบันทึกข้อมูลเช่น USB drive ที่ถูกดัดแปลง การโจมตีอาจนำไปสู่การยกระดับสิทธิ์หรือการรันโค้ดที่เป็นอันตรายบนอุปกรณ์เป้าหมาย



อุปกรณ์ที่ได้รับผลกระทบ


FatFs ถูกฝังอยู่ในอุปกรณ์อิเล็กทรอนิกส์มากมายตั้งแต่ระดับผู้บริโภคจนถึงระดับอุตสาหกรรม เนื่องจากเป็นไลบรารีที่เรียบง่าย ไม่ซับซ้อน และรองรับระบบแฟ้มข้อมูล FAT ซึ่งเป็นมาตรฐานเก่าแก่ที่ยังคงใช้อยู่ อุปกรณ์ที่ได้รับผลกระทบครอบคลุมถึงกล้องรักษาความปลอดภัย โดรนสำหรับถ่ายภาพและพาณิชย์ เครื่องคอนโทรลเลอร์ในโรงงานอุตสาหกรรม และอุปกรณ์เก็บสินทรัพย์ดิจิทัลประเภทฮาร์ดแวร์วอลเล็ต



แนวทางการป้องกันและคำแนะนำ


runZero แนะนำให้ผู้ผลิตอุปกรณ์ที่ใช้ FatFs ดำเนินการอัปเดตเฟิร์มแวร์โดยเร็วที่สุดเพื่อปิดช่องโหว่ดังกล่าว สำหรับผู้ใช้งานทั่วไป การไม่เสียบอุปกรณ์จัดเก็บข้อมูลที่ไม่รู้จักหรือไม่น่าเชื่อถือเข้ากับอุปกรณ์ที่ละเอียดอ่อนสามารถลดความเสี่ยงได้ นอกจากนี้ การติดตามข่าวสารและการอัปเดตความปลอดภัยจากผู้ผลิตก็เป็นสิ่งสำคัญ



ความสำคัญของความปลอดภัยในระบบฝังตัว


เหตุการณ์นี้เป็นตัวอย่างที่ชัดเจนถึงความท้าทายด้านความปลอดภัยในโลกของ IoT และอุปกรณ์ฝังตัว ซึ่งมักมีทรัพยากรจำกัดและใช้ซอฟต์แวร์โอเพนซอร์สที่อาจไม่ได้รับการตรวจสอบอย่างละเอียด การค้นพบช่องโหว่ใน FatFs ครั้งนี้จึงเป็นสัญญาณเตือนให้ทั้งอุตสาหกรรมหันมาใส่ใจในความปลอดภัยของซอฟต์แวร์พื้นฐานที่ถูกใช้งานในวงกว้างมากขึ้น ทีมวิจัยของ runZero ยังคงทำงานร่วมกับผู้ผลิตเพื่อให้แน่ใจว่ามีการเผยแพร่แพตช์ที่เหมาะสมแก่ผู้ใช้



Reference


The Hacker News

หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม

💬 Line @monsteronline

☎️ Tel 02-026-6664

📩 Email [email protected]

🌐 ดูสินค้าเพิ่มเติม mon.co.th

แชทผ่าน LINEดูสินค้าทั้งหมด