Uma grande vulnerabilidade que afeta as versões mais antigas do sistema operacional em tempo real QNX (RTOS) do BlackBerry pode permitir que agentes mal-intencionados incapacitem e obtenham o controle de uma variedade de produtos, incluindo carros, equipamentos médicos e industriais.
A deficiência (CVE-2021-22156, pontuação CVSS: 9,0) faz parte de uma coleção mais ampla de falhas, coletivamente apelidada de BadAlloc , que foi originalmente divulgada pela Microsoft em abril de 2021, que poderia abrir um backdoor em muitos desses dispositivos, permitindo invasores para comandá-los ou interromper suas operações.
"Um atacante remoto pode explorar CVE-2021-22156 para causar uma condição de negação de serviço ou executar código arbitrário em dispositivos afetados", a Agência de Segurança US Segurança Cibernética e Infra-estrutura (CISA) disse em um boletim de terça-feira. No momento da escrita, não há evidências de exploração ativa da vulnerabilidade.
A tecnologia BlackBerry QNX é usada em todo o mundo por mais de 195 milhões de veículos e sistemas incorporados em uma ampla gama de setores, incluindo aeroespacial e de defesa, automotivo, veículos comerciais, maquinaria pesada, controles industriais, médicos, ferroviários e robótica.
BlackBerry, em um comunicado independente, caracterizou o problema como "uma vulnerabilidade de estouro de número inteiro na função calloc () da biblioteca de tempo de execução C" afetando sua Plataforma de Desenvolvimento de Software QNX (SDP) versão 6.5.0SP1 e anterior, QNX OS for Medical 1.1 e anterior e QNX OS for Safety 1.0.1. Os fabricantes de dispositivos IoT e OT que incorporam sistemas baseados em QNX afetados são aconselhados a aplicar os seguintes patches -
- QNX SDP 6.5.0 SP1 - Aplicar patch ID 4844 ou atualizar para QNX SDP 6.6.0 ou posterior
- QNX OS for Safety 1.0 ou 1.0.1 - Atualização para QNX OS for Safety 1.0.2, e
- QNX OS for Medical 1.0 ou 1.1 - Aplique o patch ID 4846 para atualizar para QNX OS for Medical 1.1.1
"Certifique-se de que apenas as portas e protocolos usados pelo aplicativo que usa o RTOS sejam acessíveis, bloqueando todos os outros", sugeriu BlackBerry como atenuantes. "Siga as práticas recomendadas de segmentação de rede, varredura de vulnerabilidade e detecção de intrusão apropriadas para o uso do produto QNX em seu ambiente de segurança cibernética para evitar acesso malicioso ou não autorizado a dispositivos vulneráveis."
Em um relatório separado, o Politico revelou que o BlackBerry resistiu aos esforços de anunciar publicamente a vulnerabilidade BadAlloc no final de abril, citando pessoas familiarizadas com o assunto, em vez disso planejou entrar em contato com seus clientes e alertá-los sobre o problema - uma abordagem que poderia ter colocado vários dispositivos fabricantes em risco, pois a empresa não conseguia identificar todos os fornecedores que usavam seu software.
"Os representantes da BlackBerry disseram à CISA no início deste ano que não acreditavam que a BadAlloc tivesse impactado seus produtos, embora a CISA tivesse concluído que sim", disse o relatório, acrescentando "nos últimos meses, a CISA pressionou a BlackBerry a aceitar as más notícias , eventualmente fazendo com que reconheçam a existência da vulnerabilidade. "
