CISA har udsendt en advarsel om en skifer BlackBerry -produkter, der er berørt af BadAlloc -sårbarheden, som blev fokuseret af Microsoft -forskere tidligere på året.
Tirsdag offentliggjorde BlackBerry en rådgivning, der forklarer, at dets QNX Real Time Operating System – der bruges i medicinsk udstyr, biler, fabrikker og endda den internationale rumstation – kan blive påvirket af BadAlloc, som er en samling af sårbarheder, der påvirker flere RTOS'er og støtte biblioteker. BlackBerry pralede for nylig, at QNX Real Time -operativsystemet bruges i 200 millioner biler.
CISA tilføjede, at IoT -enheder, driftsteknologi og nogle industrielle kontrolsystemer har indarbejdet QNX Real Time Operating System, hvilket gør det hastende, at der træffes foranstaltninger til beskyttelse af systemer. BlackBerry frigav en komplet liste over de berørte produkter.
“En fjernangriber kunne udnytte CVE-2021-22156 til at forårsage en denial-of-service-tilstand eller udføre vilkårlig kode på berørte enheder. BlackBerry QNX RTOS bruges i en lang række produkter, hvis kompromis kan resultere i, at en ondsindet aktør får kontrol over meget følsomme systemer, der øger risikoen for nationens kritiske funktioner, “sagde CISA's advarsel.
“På nuværende tidspunkt er CISA ikke opmærksom på aktiv udnyttelse af denne sårbarhed. CISA opfordrer kraftigt kritiske infrastrukturorganisationer og andre organisationer til at udvikle, vedligeholde, understøtte eller bruge berørte QNX-baserede systemer til at lappe berørte produkter så hurtigt som muligt. “
Advarslen forklarer videre, at sårbarheden indebærer en “heltal overløbs -sårbarhed, der påvirker calloc () -funktionen i C -runtime -biblioteket for flere BlackBerry QNX -produkter.”
For at trusselsaktører kan udnytte sårbarheden, de skal allerede have “kontrol over parametrene til et calloc () funktionsopkald og muligheden for at kontrollere, hvilken hukommelse der er adgang til efter tildelingen.”
Netværksadgang ville give en hacker mulighed for eksternt at udnytte denne sårbarhed, hvis det sårbare produkt kører, og den berørte enhed er udsat for internettet, tilføjede CISA.
Sårbarheden påvirker ethvert BlackBerry-program med afhængighed af C-runtime-biblioteket.
CISA advarede om, at da mange af de enheder, der er berørt af sårbarheden, er “sikkerhedskritiske”, kan udnyttelsespotentialet risikere at give cyberangreb kontrol af systemer, der administrerer infrastruktur eller andre kritiske platforme.
“CISA opfordrer kraftigt til kritiske infrastrukturorganisationer og andre organisationer, der udvikler, vedligeholder, understøtter eller bruger berørte QNX-baserede systemer til at lappe berørte produkter så hurtigt som muligt,” hedder det i advarslen.
“Producenter af produkter, der indeholder sårbare versioner, bør kontakte BlackBerry for at få patch'en. Producenter af produkter, der udvikler unikke versioner af RTOS -software, bør kontakte BlackBerry for at få patch -koden,” forklarede CISA og tilføjede, at nogle organisationer skal muligvis oprette deres egne softwarepatches.
Nogle softwareopdateringer til RTOS kræver fjernelse af enheder eller at tage dem med til en off-site placering for fysisk udskiftning af integreret hukommelse, ifølge CISA.
BlackBerry sagde i sin egen udgivelse, at de endnu ikke havde set sårbarheden brugt. Virksomheden foreslog, at brugere af produktet sikrer, at “kun porte og protokoller, der bruges af applikationen ved hjælp af RTOS, er tilgængelige og blokerer alle andre.”
“Følg netværkssegmentering, sårbarhedsscanning og indtrængningsdetektering bedste praksis, der er passende til brug af QNX -produktet i dit cybersikkerhedsmiljø for at forhindre ondsindet eller uautoriseret adgang til sårbare enheder,” hedder det i BlackBerrys meddelelse.
Der er ingen løsninger på sårbarheden ifølge BlackBerry, men de bemærkede, at brugere kan reducere muligheden for et angreb “ved at gøre det muligt for ASLR at randomisere processegmentadresser.”
< p>Meddelelsen indeholder en række opdateringer, BlackBerry har frigivet for at løse sårbarheden. Microsoft sagde i april, at BadAlloc dækker mere end 25 CVE'er og potentielt påvirker en lang række domæner, lige fra forbruger- og medicinsk IoT til Industrial IoT.
Tirsdag rapporterede Politico om konflikten bag kulisserne mellem BlackBerry og amerikanske embedsmænd siden BadAlloc -sårbarheden blev afsløret i april.
BlackBerry benægtede angiveligt, at sårbarheden påvirkede deres produkter og modstod regeringens forsøg på at frigive offentlige meddelelser om problemet. BlackBerry vidste ikke engang, hvor mange organisationer, der brugte QNX Real Time Operating System, da de blev spurgt af embedsmænd, og tvang dem til at gå sammen med regeringens bestræbelser på at offentliggøre sårbarheden.
CISA -embedsmænd koordinerede med berørte industrier og endda forsvarsministeriet om sikkerhedsmeddelelsen om QNX -systemet, ifølge Politico, der bemærkede, at CISA også vil orientere udenlandske embedsmænd om sårbarheden.
BlackBerry sagde i juni, at QNX -royaltyindtægtsbeholdningen er steget til $ 490 millioner ved udgangen af sit første kvartal af regnskabsåret 2022. Virksomheden pralede af, at den bruges i millioner af biler fremstillet af Aptiv, BMW, Bosch, Ford, GM, Honda, Mercedes-Benz, Toyota og Volkswagen.
Sikkerhed
Kaseya ransomware-angreb: Hvad du har brug for at vide Surfshark VPN-anmeldelse: Det er billigt, men er det godt? De bedste browsere til beskyttelse af fortrolige oplysninger Cybersikkerhed 101: Beskyt dit privatliv Den bedste antivirussoftware og apps De bedste VPN'er til erhverv og hjemmebrug De bedste sikkerhedsnøgler til 2FA Hvordan ofre, der betaler løsesummen, tilskynder til flere angreb (ZDNet YouTube)
Relaterede emner :
Sikkerhed Virksomhedssoftwaremobilitet Medbring din egen enhed Hardwareanmeldelser 