CISA har gitt ut et varsel om en skifer av BlackBerry -produkter som er berørt av BadAlloc -sårbarheten, som ble belyst av Microsoft -forskere tidligere i år.
Tirsdag ga BlackBerry ut en veiledning som forklarer at QNX sanntidsoperativsystem – som brukes i medisinsk utstyr, biler, fabrikker og til og med den internasjonale romstasjonen – kan påvirkes av BadAlloc, som er en samling sårbarheter som påvirker flere RTOS -er. og støtte biblioteker. BlackBerry skryte nylig av at QNX sanntidsoperativsystem brukes i 200 millioner biler.
CISA la til at IoT -enheter, driftsteknologi og noen industrielle kontrollsystemer har innarbeidet QNX sanntidsoperativsystem, noe som gjør det presserende å treffe tiltak for å beskytte systemer. BlackBerry ga ut en fullstendig liste over de berørte produktene.
“En ekstern angriper kan utnytte CVE-2021-22156 til å forårsake en denial-of-service-tilstand eller utføre vilkårlig kode på berørte enheter. BlackBerry QNX RTOS brukes i et bredt spekter av produkter hvis kompromiss kan føre til at en ondsinnet aktør får kontroll over svært følsomme systemer, noe som øker risikoen for nasjonens kritiske funksjoner, “sa CISAs varsel.
“På dette tidspunktet er CISA ikke klar over aktiv utnyttelse av dette sikkerhetsproblemet. CISA oppfordrer sterkt kritiske infrastrukturorganisasjoner og andre organisasjoner til å utvikle, vedlikeholde, støtte eller bruke berørte QNX-baserte systemer for å lappe berørte produkter så raskt som mulig. “
Varselet forklarer videre at sikkerhetsproblemet innebærer et “heltalls -overløpssårbarhet som påvirker calloc () -funksjonen i C -kjøretidsbiblioteket til flere BlackBerry QNX -produkter.”
For at trusselaktører skal dra fordel av sårbarheten, de må allerede ha “kontroll over parametrene til et calloc () funksjonsanrop og muligheten til å kontrollere hvilket minne som er tilgjengelig etter tildelingen.”
Nettverkstilgang vil tillate en angriper å utnytte dette sikkerhetsproblemet eksternt hvis det sårbare produktet kjører og den berørte enheten blir utsatt for internett, la CISA til.
Sårbarheten påvirker alle BlackBerry-programmer som er avhengige av C-kjøretidsbiblioteket.
CISA advarte om at siden mange av enhetene som er berørt av sårbarheten er “sikkerhetskritiske”, kan potensialet for utnyttelse risikere å gi cyberangrep kontroll systemer som administrerer infrastruktur eller andre kritiske plattformer.
“CISA oppfordrer sterkt kritiske infrastrukturorganisasjoner og andre organisasjoner til å utvikle, vedlikeholde, støtte eller bruke berørte QNX-baserte systemer for å lappe berørte produkter så raskt som mulig,” heter det i varselet.
“Produsenter av produkter som inneholder sårbare versjoner, bør kontakte BlackBerry for å få oppdateringen. Produsenter av produkter som utvikler unike versjoner av RTOS -programvare, bør kontakte BlackBerry for å få oppdateringskoden,” forklarte CISA og la til at noen organisasjoner må kanskje lage sine egne programvareoppdateringer.
Noen programvareoppdateringer for RTOS krever at du fjerner enheter eller tar dem til et sted utenfor stedet for fysisk utskifting av integrert minne, ifølge CISA.
BlackBerry sa i sin egen utgivelse at de ennå ikke hadde sett sårbarheten som ble brukt. Selskapet foreslo at brukerne av produktet sørger for at “bare porter og protokoller som brukes av programmet ved bruk av RTOS, er tilgjengelige og blokkerer alle andre.”
“Følg gode rutiner for nettverkssegmentering, sårbarhetsskanning og inntrengingsdeteksjon for bruk av QNX -produktet i ditt cybersikkerhetsmiljø for å forhindre ondsinnet eller uautorisert tilgang til sårbare enheter,” heter det i BlackBerrys melding.
Det er ingen løsninger på sårbarheten, ifølge BlackBerry, men de bemerket at brukere kan redusere muligheten for et angrep “ved å gjøre det mulig for ASLR å randomisere prosessegmentadresser.”
< p>Meldingen inneholder en rekke oppdateringer BlackBerry har gitt ut for å løse sårbarheten. Microsoft sa i april at BadAlloc dekker mer enn 25 CVE-er og potensielt påvirker et bredt spekter av domener, fra forbruker- og medisinsk IoT til Industrial IoT.
Tirsdag rapporterte Politico om konflikten bak kulissene mellom BlackBerry og amerikanske myndigheter siden BadAlloc -sårbarheten ble avslørt i april.
BlackBerry nektet angivelig at sårbarheten påvirket produktene deres og motsto regjeringens forsøk på å offentliggjøre offentlige meldinger om problemet. BlackBerry visste ikke engang hvor mange organisasjoner som brukte QNX sanntidsoperativsystem når de ble spurt av myndigheter, og tvang dem til å gå sammen med regjeringens innsats for å offentliggjøre sårbarheten.
CISA -tjenestemenn koordinerte med berørte næringer og til og med forsvarsdepartementet om sikkerhetsmeldingen om QNX -systemet, ifølge Politico, som bemerket at CISA også vil orientere utenlandske tjenestemenn om sårbarheten.
BlackBerry sa i juni at QNX -royaltyinntekten har økt til 490 millioner dollar ved utgangen av første kvartal i regnskapsåret 2022. Selskapet skrøt av at det brukes i millioner av biler produsert av Aptiv, BMW, Bosch, Ford, GM, Honda, Mercedes-Benz, Toyota og Volkswagen.
Sikkerhet
Kaseya ransomware-angrep: Det du trenger å vite Surfshark VPN-anmeldelse: Det er billig, men er det bra? De beste nettleserne for personvern Cyber security 101: Beskytt personvernet ditt Den beste antivirusprogramvaren og appene De beste VPN -ene for forretninger og hjemmebruk De beste sikkerhetsnøklene for 2FA Hvordan ofre som betaler løsepenger oppfordrer til flere angrep (ZDNet YouTube)
Relaterte emner :
Sikkerhet Enterprise Software Software Mobility Ta med din egen maskinvareomtaler 