CISA ha pubblicato un avviso su una serie di prodotti BlackBerry interessati dalla vulnerabilità BadAlloc, che è stata messa in luce dai ricercatori Microsoft all'inizio di quest'anno.
Martedì, BlackBerry ha pubblicato un avviso in cui spiega che il suo sistema operativo in tempo reale QNX, utilizzato in dispositivi medici, automobili, fabbriche e persino sulla Stazione Spaziale Internazionale, può essere interessato da BadAlloc, una raccolta di vulnerabilità che interessano più RTOS. e biblioteche di supporto. BlackBerry ha recentemente affermato che il sistema operativo QNX Real Time è utilizzato in 200 milioni di auto.
CISA ha aggiunto che i dispositivi IoT, la tecnologia operativa e alcuni sistemi di controllo industriale hanno incorporato il sistema operativo QNX Real Time, rendendo urgente l'adozione di misure per proteggere i sistemi. BlackBerry ha rilasciato un elenco completo dei prodotti interessati.
“Un utente malintenzionato remoto potrebbe sfruttare CVE-2021-22156 per causare una condizione di negazione del servizio o eseguire codice arbitrario sui dispositivi interessati. BlackBerry QNX RTOS viene utilizzato in un'ampia gamma di prodotti la cui compromissione potrebbe portare un malintenzionato a ottenere il controllo di sistemi altamente sensibili, aumentando il rischio per le funzioni critiche della Nazione”, afferma l'allerta della CISA.
“Al momento, CISA non è a conoscenza dello sfruttamento attivo di questa vulnerabilità. CISA incoraggia vivamente le organizzazioni di infrastrutture critiche e altre organizzazioni che sviluppano, mantengono, supportano o utilizzano sistemi basati su QNX interessati, per applicare patch ai prodotti interessati il più rapidamente possibile.”
L'avviso prosegue spiegando che la vulnerabilità implica una “vulnerabilità di overflow di numeri interi che interessa la funzione calloc() nella libreria di runtime C di più prodotti BlackBerry QNX”. devono già avere “il controllo sui parametri di una chiamata di funzione calloc() e la capacità di controllare a quale memoria si accede dopo l'allocazione.”
L'accesso alla rete consentirebbe a un utente malintenzionato di sfruttare in remoto questa vulnerabilità se il prodotto vulnerabile è in esecuzione e il dispositivo interessato è esposto a Internet, ha aggiunto CISA.
La vulnerabilità colpisce ogni programma BlackBerry con una dipendenza dalla libreria di runtime C.
CISA ha avvertito che poiché molti dei dispositivi interessati dalla vulnerabilità sono “critici per la sicurezza”, il potenziale di sfruttamento potrebbe rischiare di dare il controllo agli aggressori informatici di sistemi che gestiscono infrastrutture o altre piattaforme critiche.
“CISA incoraggia fortemente le organizzazioni di infrastrutture critiche e altre organizzazioni che sviluppano, mantengono, supportano o utilizzano sistemi basati su QNX interessati per applicare patch ai prodotti interessati il più rapidamente possibile”, afferma l'avviso.
“I produttori di prodotti che incorporano versioni vulnerabili dovrebbero contattare BlackBerry per ottenere la patch. I produttori di prodotti che sviluppano versioni uniche del software RTOS dovrebbero contattare BlackBerry per ottenere il codice patch”, ha spiegato CISA, aggiungendo che alcune organizzazioni potrebbero dover creare le proprie patch software.
Secondo CISA, alcuni aggiornamenti software per RTOS richiedono la rimozione dei dispositivi o il loro trasferimento in una posizione fuori sede per la sostituzione fisica della memoria integrata.
BlackBerry ha dichiarato nella sua stessa versione di non aver ancora visto la vulnerabilità utilizzata. La società ha suggerito agli utenti del prodotto di assicurarsi che “solo le porte e i protocolli utilizzati dall'applicazione che utilizzano l'RTOS siano accessibili, bloccando tutti gli altri”.
“Segui la segmentazione della rete, la scansione delle vulnerabilità e le migliori pratiche di rilevamento delle intrusioni appropriate per l'uso del prodotto QNX nel tuo ambiente di sicurezza informatica per prevenire l'accesso dannoso o non autorizzato ai dispositivi vulnerabili”, afferma l'avviso di BlackBerry.
Non ci sono soluzioni alternative per la vulnerabilità, secondo BlackBerry, ma hanno notato che gli utenti possono ridurre la possibilità di un attacco “abilitando la capacità dell'ASLR di randomizzare gli indirizzi dei segmenti di processo”.
p>L'avviso include una serie di aggiornamenti rilasciati da BlackBerry per affrontare la vulnerabilità. Microsoft ha dichiarato ad aprile che BadAlloc copre più di 25 CVE e potenzialmente interessa un'ampia gamma di domini, dall'IoT consumer e medico all'IoT industriale.
Martedì, Politico ha riferito della disputa dietro le quinte tra BlackBerry e funzionari del governo degli Stati Uniti da quando la vulnerabilità di BadAlloc è stata rivelata ad aprile.
BlackBerry avrebbe negato che la vulnerabilità avesse influito sui suoi prodotti e si fosse opposto ai tentativi del governo di rilasciare avvisi pubblici sul problema. BlackBerry non sapeva nemmeno quante organizzazioni stessero utilizzando il sistema operativo QNX Real Time quando richiesto dai funzionari governativi, costringendole a seguire gli sforzi del governo per pubblicizzare la vulnerabilità.
I funzionari della CISA si sono coordinati con le industrie colpite e persino con il Dipartimento della Difesa sull'avviso di sicurezza sul sistema QNX, secondo Politico, che ha osservato che la CISA informerà anche i funzionari stranieri sulla vulnerabilità.
BlackBerry ha dichiarato a giugno che l'arretrato dei ricavi delle royalty QNX è aumentato a $ 490 milioni alla fine del primo trimestre dell'anno fiscale 2022. La società si è vantata di essere utilizzato in milioni di auto prodotte da Aptiv, BMW, Bosch, Ford, GM, Honda, Mercedes-Benz, Toyota e Volkswagen.
Sicurezza
Attacco ransomware Kaseya: cosa devi sapere Recensione VPN di Surfshark: è economico, ma è buono? I migliori browser per la privacy Sicurezza informatica 101: proteggi la tua privacy I migliori software e app antivirus Le migliori VPN per uso aziendale e domestico Le migliori chiavi di sicurezza per 2FA Come le vittime che pagano il riscatto incoraggiano più attacchi (ZDNet YouTube)
Argomenti correlati :
Security Enterprise Software Mobility Porta il tuo dispositivo Recensioni hardware 