CISA har släppt en varning om en skiffer BlackBerry -produkter som drabbats av BadAlloc -sårbarheten, som uppmärksammades av Microsofts forskare tidigare i år.
På tisdagen släppte BlackBerry en rådgivning som förklarar att dess QNX Real Time Operating System – som används i medicintekniska produkter, bilar, fabriker och till och med den internationella rymdstationen – kan påverkas av BadAlloc, som är en samling sårbarheter som påverkar flera RTOS och stödja bibliotek. BlackBerry skrytte nyligen med att QNX Real Time Operating System används i 200 miljoner bilar.
CISA tillade att IoT -enheter, driftsteknik och vissa industriella styrsystem har införlivat QNX Real Time Operating System, vilket gör det angeläget att åtgärder vidtas för att skydda system. BlackBerry släppte en fullständig lista över de berörda produkterna.
“En fjärrangripare kan utnyttja CVE-2021-22156 för att orsaka ett denial-of-service-tillstånd eller exekvera godtycklig kod på berörda enheter. BlackBerry QNX RTOS används i ett brett utbud av produkter vars kompromiss kan leda till att en skadlig aktör får kontroll över mycket känsliga system, vilket ökar risken för nationens kritiska funktioner, “sade CISA: s varning.
“För närvarande är CISA inte medvetet om aktivt utnyttjande av denna sårbarhet. CISA uppmuntrar starkt kritiska infrastrukturorganisationer och andra organisationer att utveckla, underhålla, stödja eller använda drabbade QNX-baserade system för att korrigera drabbade produkter så snabbt som möjligt. “
Varningen fortsätter med att förklara att sårbarheten innebär en “heltalsöverflödessårbarhet som påverkar calloc () -funktionen i C -körtidsbiblioteket för flera BlackBerry QNX -produkter.”
För att hotaktörer ska kunna dra nytta av sårbarheten, de måste redan ha “kontroll över parametrarna för ett calloc () -samtal och möjlighet att kontrollera vilket minne som nås efter allokeringen.”
Nätverksåtkomst skulle göra det möjligt för en angripare att på distans utnyttja denna sårbarhet om den sårbara produkten körs och den drabbade enheten exponeras för internet, tillade CISA.
Sårbarheten påverkar alla BlackBerry-program med beroende av C-körtidsbiblioteket.
CISA varnade för att eftersom många av de enheter som påverkas av sårbarheten är “säkerhetskritiska” kan potentialen för exploatering riskera att ge cyberattacker kontroll system som hanterar infrastruktur eller andra kritiska plattformar.
“CISA uppmuntrar starkt kritiska infrastrukturorganisationer och andra organisationer att utveckla, underhålla, stödja eller använda drabbade QNX-baserade system för att korrigera berörda produkter så snabbt som möjligt”, säger varningen.
“Tillverkare av produkter som innehåller sårbara versioner bör kontakta BlackBerry för att få korrigeringen. Tillverkare av produkter som utvecklar unika versioner av RTOS -programvara bör kontakta BlackBerry för att få patchkoden”, förklarade CISA och tillade att vissa organisationer kan behöva skapa sina egna programvarupatcher.
Vissa programuppdateringar för RTOS kräver att enheter tas bort eller tas till en plats utanför platsen för fysisk ersättning av integrerat minne, enligt CISA.
BlackBerry sa i sin egen version att de ännu inte hade sett sårbarheten som användes. Företaget föreslog att användarna av produkten säkerställer att “endast portar och protokoll som används av programmet med RTOS är tillgängliga och blockerar alla andra.”
“Följ bästa praxis för nätverkssegmentering, sårbarhetsskanning och intrångsdetektering som är lämpliga för användning av QNX -produkten i din cybersäkerhetsmiljö för att förhindra skadlig eller obehörig åtkomst till sårbara enheter”, säger BlackBerrys meddelande.
Det finns inga lösningar på sårbarheten, enligt BlackBerry, men de noterade att användare kan minska risken för ett angrepp “genom att göra det möjligt för ASLR att randomisera processegmentadresser.”
< p>Meddelandet innehåller ett antal uppdateringar som BlackBerry har släppt för att åtgärda sårbarheten. Microsoft sa i april att BadAlloc täcker mer än 25 CVE och potentiellt påverkar ett brett spektrum av domäner, från konsument- och medicinsk IoT till Industrial IoT.
På tisdagen rapporterade Politico om konflikten bakom kulisserna mellan BlackBerry och amerikanska regeringstjänstemän sedan BadAlloc -sårbarheten avslöjades i april.
BlackBerry förnekade att sårbarheten påverkade deras produkter och motstod regeringens försök att offentliggöra meddelanden om problemet. BlackBerry visste inte ens hur många organisationer som använde QNX Real Time Operating System när de tillfrågades av regeringstjänstemän, vilket tvingade dem att gå vidare med regeringens ansträngningar att offentliggöra sårbarheten.
CISA -tjänstemän samordnade med berörda industrier och till och med försvarsdepartementet om säkerhetsmeddelandet om QNX -systemet, enligt Politico, som noterade att CISA också kommer att informera utländska tjänstemän om sårbarheten också.
BlackBerry sade i juni att QNX -intäkterna för royaltyintäkter har ökat till 490 miljoner dollar i slutet av första kvartalet räkenskapsåret 2022. Företaget skröt över att det används i miljontals bilar tillverkade av Aptiv, BMW, Bosch, Ford, GM, Honda, Mercedes-Benz, Toyota och Volkswagen.
Säkerhet
Kaseya ransomware-attack: Vad du behöver veta Surfshark VPN-recension: Det är billigt, men är det bra? De bästa webbläsarna för integritet Cybersäkerhet 101: Skydda din integritet De bästa antivirusprogrammen och apparna De bästa VPN: erna för företag och hemmabruk De bästa säkerhetsnycklarna för 2FA Hur offer som betalar lösen uppmuntrar till fler attacker (ZDNet YouTube)
Relaterade ämnen :
Säkerhet Enterprise Software Software Mobility Ta med din egen maskinvara Recensioner 