CISA пуска предупреждение за уязвимостта на BadAlloc в продуктите на BlackBerry

Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

CISA има пусна предупреждение за списък с продукти на BlackBerry, засегнати от уязвимостта на BadAlloc, която беше в центъра на вниманието на Microsoft изследователи по -рано тази година.

Във вторник, BlackBerry пуснаха препоръка обяснява, че неговата операционна система QNX в реално време – която се използва в медицински устройства, автомобили, фабрики и дори Международната космическа станция – може да бъде засегната от BadAlloc, която е съвкупност от уязвимости, засягащи множество RTOS и поддържащи библиотеки. Наскоро BlackBerry се похвали, че операционната система QNX в реално време е използвани в 200 милиона коли.

CISA добави, че устройствата за интернет на нещата, оперативната технология и някои промишлени системи за управление са включили операционната система QNX в реално време, което прави спешно предприемането на мерки за защита на системите. BlackBerry пусна пълен списък на засегнатите продукти.

“Отдалечен атакуващ може да използва CVE-2021-22156, за да причини състояние на отказ на услуга или да изпълни произволен код на засегнатите устройства. BlackBerry QNX RTOS се използва в широк спектър от продукти, чийто компромис може да доведе до поемане на контрол от злонамерен участник високочувствителни системи, увеличаващи риска за критичните функции на нацията “, се казва в сигнала на CISA.

“Понастоящем CISA не е наясно с активната експлоатация на тази уязвимост. CISA силно насърчава критично важните инфраструктурни организации и други организации, които разработват, поддържат, поддържат или използват засегнати QNX базирани системи, да закърпят засегнатите продукти възможно най-бързо.”

По -нататък предупреждението обяснява, че уязвимостта включва „уязвимост от препълване на цели числа, засягаща функцията calloc () в библиотеката за изпълнение на C на множество BlackBerry QNX продукти“.

За да могат участниците в заплахата да се възползват от уязвимостта, те вече трябва да имат „контрол над параметрите до извикване на функция calloc () и възможност да контролират до каква памет се осъществява достъп след разпределението“.

Достъпът до мрежата би позволил на нападателя да използва дистанционно тази уязвимост, ако уязвимият продукт работи и засегнатото устройство е изложено на интернет, добави CISA.

Уязвимостта засяга всяка програма на BlackBerry със зависимост от библиотеката C по време на работа.

CISA предупреди, че тъй като много от устройствата, засегнати от уязвимостта, са “критични за безопасността”, потенциалът за експлоатация може да рискува да даде на кибератаците контрол върху системи, които управляват инфраструктура или други критични платформи.

„CISA силно насърчава критично важни инфраструктурни организации и други организации, които разработват, поддържат, поддържат или използват засегнати QNX-базирани системи, за да закърпят засегнатите продукти възможно най-бързо“, се казва в сигнала.

“Производителите на продукти, които включват уязвими версии, трябва да се свържат с BlackBerry, за да получат пластира. Производителите на продукти, които разработват уникални версии на софтуера RTOS, трябва да се свържат с BlackBerry, за да получат кода за кръпка”, обяснява CISA и добавя, че някои организации може да се наложи да създадат свой собствен софтуер лепенки.

Някои актуализации на софтуера за RTOS изискват премахване на устройства или отвеждане на място извън място за физическа подмяна на вградената памет, според CISA.

BlackBerry заяви в собственото си издание, че все още не са виждали използваната уязвимост. Компанията предложи потребителите на продукта да гарантират, че „само портове и протоколи, използвани от приложението, използващо RTOS, са достъпни, блокирайки всички останали“.

„Следвайте най -добрите практики за сегментиране на мрежата, сканиране на уязвимости и откриване на прониквания, подходящи за използване на продукта QNX във вашата среда за киберсигурност, за да предотвратите злонамерен или неоторизиран достъп до уязвими устройства“, се казва в съобщението на BlackBerry.

Няма решения за уязвимостта, според BlackBerry, но те отбелязват, че потребителите могат да намалят възможността за атака „като активират възможността за ASLR да рандомизира адресите на сегментите на процесите“.

Известието включва редица актуализации, които BlackBerry е пуснала за отстраняване на уязвимостта. Microsoft заяви през април, че BadAlloc обхваща повече от 25 CVE и потенциално засяга широк спектър от области, от потребителски и медицински IoT до Industrial IoT.

Във вторник, Това съобщи Politico относно задкулисния спор между представители на BlackBerry и правителството на САЩ, откакто уязвимостта на BadAlloc бе разкрита през април.

BlackBerry твърди, че отрича, че уязвимостта засяга техните продукти и се противопоставя на опитите на правителството да публикува публични съобщения за проблема. BlackBerry дори не знаеше колко организации използват операционната система QNX в реално време, когато бяха попитани от правителствени служители, принуждавайки ги да поемат заедно с правителствените усилия за оповестяване на уязвимостта.

Служителите на CISA се координираха със засегнатите индустрии и дори с Министерството на отбраната относно известието за сигурност относно системата QNX, според Politico, което отбелязва, че CISA също ще информира чуждестранните служители за уязвимостта.

BlackBerry заяви през юни, че изоставането на приходите от QNX роялти се е увеличило до 490 милиона долара в края на първото тримесечие на финансовата 2022 г. Компанията се похвали, че се използва в милиони автомобили, произведени от Aptiv, BMW, Bosch, Ford, GM, Honda, Mercedes-Benz, Toyota и Volkswagen.

Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com


Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •