CISA heeft een waarschuwing uitgebracht over een aantal BlackBerry-producten die zijn getroffen door de BadAlloc-kwetsbaarheid, die eerder dit jaar door Microsoft-onderzoekers onder de aandacht werd gebracht.
Op dinsdag heeft BlackBerry een advies uitgebracht waarin wordt uitgelegd dat zijn QNX Real Time-besturingssysteem – dat wordt gebruikt in medische apparaten, auto's, fabrieken en zelfs het internationale ruimtestation – kan worden beïnvloed door BadAlloc, een verzameling kwetsbaarheden die meerdere RTOS's beïnvloeden en ondersteunende bibliotheken. BlackBerry pochte onlangs dat het QNX Real Time Operating System in 200 miljoen auto's wordt gebruikt.
CISA voegde eraan toe dat IoT-apparaten, operationele technologie en sommige industriële controlesystemen QNX Real Time Operating System hebben ingebouwd, waardoor het dringend noodzakelijk is om maatregelen te nemen om systemen te beschermen. BlackBerry heeft een volledige lijst van de getroffen producten vrijgegeven.
“Een aanvaller op afstand zou CVE-2021-22156 kunnen misbruiken om een denial-of-service-toestand te veroorzaken of willekeurige code uit te voeren op getroffen apparaten. BlackBerry QNX RTOS wordt gebruikt in een breed scala aan producten waarvan het compromis ertoe zou kunnen leiden dat een kwaadwillende actor controle krijgt over zeer gevoelige systemen, waardoor het risico voor de kritieke functies van de natie toeneemt”, aldus de waarschuwing van CISA.
“Op dit moment is CISA niet op de hoogte van actief misbruik van dit beveiligingslek. CISA moedigt organisaties met kritieke infrastructuur en andere organisaties die getroffen op QNX gebaseerde systemen ontwikkelen, onderhouden, ondersteunen of gebruiken sterk aan om de getroffen producten te patchen zo snel mogelijk.”
De waarschuwing legt verder uit dat de kwetsbaarheid een “integer overflow-kwetsbaarheid betreft die de calloc()-functie in de C runtime-bibliotheek van meerdere BlackBerry QNX-producten beïnvloedt.”
Voor bedreigingsactoren om te profiteren van de kwetsbaarheid, ze moeten al “controle hebben over de parameters voor een calloc()-functieaanroep en de mogelijkheid om te bepalen tot welk geheugen toegang wordt verkregen na de toewijzing.”
Netwerktoegang zou een aanvaller in staat stellen om dit beveiligingslek op afstand te misbruiken als het kwetsbare product is actief en het getroffen apparaat is blootgesteld aan internet, voegde CISA eraan toe.
De kwetsbaarheid treft elk BlackBerry-programma dat afhankelijk is van de C runtime-bibliotheek.
CISA waarschuwde dat, aangezien veel van de door de kwetsbaarheid getroffen apparaten “kritiek voor de veiligheid” zijn, de kans op uitbuiting de cyberaanvallers de controle zou kunnen geven van systemen die infrastructuur of andere kritieke platforms beheren.
“CISA moedigt organisaties met kritieke infrastructuur en andere organisaties ten zeerste aan om getroffen QNX-gebaseerde systemen te ontwikkelen, onderhouden, ondersteunen of gebruiken om de getroffen producten zo snel mogelijk te patchen”, aldus de waarschuwing.
“Fabrikanten van producten die kwetsbare versies bevatten, moeten contact opnemen met BlackBerry om de patch te verkrijgen. Fabrikanten van producten die unieke versies van RTOS-software ontwikkelen, moeten contact opnemen met BlackBerry om de patchcode te verkrijgen”, legt CISA uit, eraan toevoegend dat sommige organisaties mogelijk hun eigen softwarepatches moeten maken.
Volgens CISA moeten sommige software-updates voor RTOS apparaten verwijderen of naar een externe locatie brengen voor fysieke vervanging van geïntegreerd geheugen.
BlackBerry zei in zijn eigen release dat ze de kwetsbaarheid nog niet hadden gebruikt. Het bedrijf stelde voor dat gebruikers van het product ervoor zorgen dat “alleen poorten en protocollen die worden gebruikt door de applicatie die de RTOS gebruikt, toegankelijk zijn, waardoor alle andere worden geblokkeerd.”
“Volg de beste werkwijzen voor netwerksegmentatie, kwetsbaarheidsscans en inbraakdetectie die geschikt zijn voor het gebruik van het QNX-product in uw cyberbeveiligingsomgeving om kwaadwillende of ongeautoriseerde toegang tot kwetsbare apparaten te voorkomen”, aldus de mededeling van BlackBerry.
Volgens BlackBerry zijn er geen tijdelijke oplossingen voor de kwetsbaarheid, maar ze merkten op dat gebruikers de kans op een aanval kunnen verkleinen “door ASLR in staat te stellen de adressen van processegmenten willekeurig te verdelen.”
p>Het bericht bevat een aantal updates die BlackBerry heeft uitgebracht om de kwetsbaarheid aan te pakken. Microsoft zei in april dat BadAlloc meer dan 25 CVE's omvat en mogelijk een breed scala aan domeinen beïnvloedt, van consumenten- en medisch IoT tot industrieel IoT.
Op dinsdag rapporteerde Politico over het geschil achter de schermen tussen BlackBerry en Amerikaanse overheidsfunctionarissen sinds de BadAlloc-kwetsbaarheid in april werd onthuld.
BlackBerry ontkende naar verluidt dat de kwetsbaarheid hun producten trof en verzette zich tegen pogingen van de overheid om openbare mededelingen over het probleem vrij te geven. BlackBerry wist niet eens hoeveel organisaties het QNX Real Time-besturingssysteem gebruikten toen dit werd gevraagd door overheidsfunctionarissen, waardoor ze gedwongen werden mee te werken aan overheidsinspanningen om de kwetsbaarheid bekend te maken.
CISA-functionarissen coördineerden met de getroffen industrieën en zelfs het ministerie van Defensie over de beveiligingskennisgeving over het QNX-systeem, volgens Politico, die opmerkte dat CISA ook buitenlandse functionarissen over de kwetsbaarheid zal informeren.
BlackBerry zei in juni dat de achterstallige royalty-inkomsten van QNX zijn gestegen tot $ 490 miljoen aan het einde van het eerste kwartaal van het fiscale jaar 2022. Het bedrijf pochte dat het wordt gebruikt in miljoenen auto's van Aptiv, BMW, Bosch, Ford, GM, Honda, Mercedes-Benz, Toyota en Volkswagen.
Beveiliging
Kaseya ransomware-aanval: wat je moet weten Surfshark VPN review: het is goedkoop, maar is het ook goed? De beste browsers voor privacy Cyberbeveiliging 101: bescherm uw privacy De beste antivirussoftware en apps De beste VPN's voor zakelijk en thuisgebruik De beste beveiligingssleutels voor 2FA Hoe slachtoffers die het losgeld betalen meer aanvallen aanmoedigen (ZDNet YouTube)
Verwante onderwerpen :
Beveiliging Enterprise Software Mobiliteit Breng uw eigen apparaat mee Hardwarebeoordelingen 