Cacat BadAlloc Mempengaruhi BlackBerry QNX yang Digunakan di Jutaan Mobil dan Perangkat Medis

  • Whatsapp
Sistem Operasi Real-time BlackBerry QNX Neutrino

Kerentanan utama yang memengaruhi versi lama Sistem Operasi Waktu Nyata QNX BlackBerry (RTOS) dapat memungkinkan pelaku jahat melumpuhkan dan menguasai berbagai produk, termasuk mobil, medis, dan peralatan industri.

Kekurangannya (CVE-2021-22156, skor CVSS: 9.0) adalah bagian dari kumpulan kelemahan yang lebih luas, yang secara kolektif dijuluki BadAlloc, yang awalnya diungkapkan oleh Microsoft pada April 2021, yang dapat membuka pintu belakang ke banyak perangkat ini, memungkinkan penyerang untuk menyita mereka atau mengganggu operasi mereka.

Bacaan Lainnya

“Penyerang jarak jauh dapat mengeksploitasi CVE-2021-22156 untuk menyebabkan kondisi penolakan layanan atau mengeksekusi kode arbitrer pada perangkat yang terpengaruh,” Badan Keamanan Siber dan Infrastruktur AS (CISA) dikatakan dalam buletin Selasa. Pada saat penulisan, tidak ada bukti eksploitasi aktif dari kerentanan.

Tim Stack Overflow

Teknologi BlackBerry QNX adalah digunakan di seluruh dunia oleh lebih dari 195 juta kendaraan dan sistem tertanam di berbagai industri, termasuk kedirgantaraan dan pertahanan, otomotif, kendaraan komersial, mesin berat, kontrol industri, medis, kereta api, dan robotika.

BlackBerry, dalam penasehat independen, mencirikan masalah ini sebagai “kerentanan luapan bilangan bulat dalam fungsi calloc() dari pustaka runtime C” yang memengaruhi Platform Pengembangan Perangkat Lunak (SDP) QNX versi 6.5.0SP1 dan sebelumnya, QNX OS for Medical 1.1 dan sebelumnya, dan QNX OS for Safety 1.0.1. Produsen perangkat IoT dan OT yang menggabungkan sistem berbasis QNX yang terpengaruh disarankan untuk menerapkan patch berikut –

  • QNX SDP 6.5.0 SP1 – Terapkan patch ID 4844 atau perbarui ke QNX SDP 6.6.0 atau lebih baru
  • QNX OS untuk Keselamatan 1.0 atau 1.0.1 – Perbarui ke QNX OS for Safety 1.0.2, dan
  • QNX OS untuk Medis 1.0 atau 1.1 – Terapkan patch ID 4846 untuk memperbarui ke QNX OS for Medical 1.1.1

“Pastikan hanya port dan protokol yang digunakan oleh aplikasi yang menggunakan RTOS yang dapat diakses, memblokir yang lainnya,” BlackBerry disarankan sebagai mitigasi. “Ikuti segmentasi jaringan, pemindaian kerentanan, dan praktik terbaik deteksi intrusi yang sesuai untuk penggunaan produk QNX di lingkungan keamanan siber Anda untuk mencegah akses berbahaya atau tidak sah ke perangkat yang rentan.”

Manajemen Kata Sandi Perusahaan

Dalam laporan terpisah, Politico mengungkapkan bahwa BlackBerry menolak upaya untuk mengumumkan secara terbuka kerentanan BadAlloc pada akhir April, mengutip orang-orang yang mengetahui masalah ini, malah berencana untuk menghubungi pelanggannya secara pribadi dan memperingatkan mereka tentang masalah tersebut — sebuah pendekatan yang dapat membahayakan beberapa produsen perangkat, karena perusahaan tidak dapat mengidentifikasi semua vendor menggunakan perangkat lunaknya.

“Perwakilan BlackBerry mengatakan kepada CISA awal tahun ini bahwa mereka tidak percaya BadAlloc telah berdampak pada produk mereka, meskipun CISA telah menyimpulkan bahwa itu terjadi,” kata laporan itu, menambahkan “selama beberapa bulan terakhir, CISA mendorong BlackBerry untuk menerima kabar buruk itu. , akhirnya membuat mereka mengakui kerentanan yang ada.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *