CISA hoiatas täna, et asjade Interneti ja OT turvavead, mida nimetatakse BadAllociks, mõjutavad BlackBerry QNX reaalajas operatsioonisüsteemi (RTOS), mida kasutavad kriitilise infrastruktuuri organisatsioonid.
BadAlloc on kogum 25 mälujaotuse haavatavusest Täisarvu või ümbriku ületäitumine viga.
Microsofti teadlased on leidnud need standardsetes mälujaotuse funktsioonides, mida kasutatakse laialdaselt mitmes reaalajas operatsioonisüsteemis (RTOS), standardsete C-teekide (libc) rakendustes ja integreeritud tarkvaraarenduskomplektides (SDK).
Haavatuid IoT- ja OT-seadmeid, mida BadAlloci vead otseselt mõjutavad, võib leida paljudest tarbija-, meditsiini- ja tööstusvõrkudest.
BlackBerry QNX toidab kriitilise tähtsusega infrastruktuuri süsteeme
QNX BlackBerrys Seda tehnoloogiat kasutavad üle maailma enam kui 195 miljonit sõidukit ja manustatud süsteemi paljudes tööstusharudes, sealhulgas lennunduses ja kaitsetööstuses, rasketehnikas, raudteedes, robootikas, tööstuslikes juhtimisseadmetes, autodes, tarbesõidukites ja meditsiinis.
Kaugründajad võivad kasutada BadAlloci vastu paigata BlackBerry QNX toodete vanemaid versioone töötavaid seadmeid, et käivitada teenuse keelamise tingimused või käivitada haavatavates QNX-põhistes süsteemides suvalist koodi.
'BlackBerry QNX RTOS-i kasutatakse paljudes toodetes, mille kompromiss võib viia ründajani väga tundlike süsteemide üle kontrolli saavutamiseni, suurendades ohtu riigi kriitilistele funktsioonidele,' CISA valvesse panema .
'CISA julgustab tungivalt kriitilise infrastruktuuri organisatsioone ja teisi organisatsioone, kes arendavad, hooldavad, toetavad või kasutavad mõjutatud QNX-põhiseid süsteeme, et parandada mõjutatud tooteid võimalikult kiiresti.'
Samuti USA Toidu- ja Ravimiamet (FDA) väljastanud eraldi teate hoiatades täna patsiente, tervishoiutöötajaid ja tootjaid suurenenud ohust, mida need haavatavused kujutavad meditsiiniseadmetele, mis sisaldavad haavatavat BlackBerry QNX tarkvara.
CISA, FDA ja BlackBerry ei ole praegu teadlikud selle haavatavuse ärakasutamisest looduses.
Leevendussoovitused
Hoiatused tulevad pärast BlackBerryt avalikustati täna et BadAlloc (registreeritud kui CVE-2021-22156) mõjutab ka QNX tarkvaraarendusplatvormi (SDP), QNX OS for Medical ja QNX OS for Security.
Samuti soovitab ettevõte kõigil huvitatud QNX SDP-, QNX OS for Safety ja QNX OS for Medical klientidel oma QNX-i tooteid võimalikult kiiresti värskendada, kasutades järgmisi linke (allalaadimistele juurdepääs nõuab myQNX-i kontot):
Kui fikseeritud versioonile uuendamine ei ole kohe võimalik, soovitab BlackBerry turvaaukude leevendamiseks tagada, et juurdepääs on ainult RTOS-i rakenduste kasutatavatele pordidele ja protokollidele, blokeerides kõik teised.
- Võimaluse korral veenduge, et teie süsteemid ühenduksid ainult usaldusväärsete isoleeritud võrkudega.
- vältige mittevajalike liideste paljastamist (nt telnet, ftp, qconn jne)
- Tuvastage tulemüüride taga olevad süsteemivõrgud ja kaugseadmed ning eraldage need ettevõtte võrgust.
CISA on kutsunud üles ka väga kriitilise tähtsusega taristuorganisatsioone, kes arendavad, hooldavad, toetavad või kasutavad mõjutatud QNX-põhiseid süsteeme, neid võimalikult kiiresti parandama.
Föderaalagentuur annab potentsiaalselt mõjutatud üksustele leevendusnõuandeid:
