BadAlloc влияет на критическую инфраструктуру с помощью BlackBerry QNX

42
Выпущен бесплатный мастер-дешифратор программ-вымогателей REvil для прошлых жертв

Сегодня CISA предупредила, что недостатки безопасности IoT и OT, известные как BadAlloc, влияют на операционную систему реального времени QNX Real Time (RTOS) BlackBerry, используемую организациями критически важной инфраструктуры.

BadAlloc – это набор из 25 уязвимостей, вызванных ошибками выделения памяти при целочисленном переполнении или циклическом переносе.

Они были обнаружены исследователями Microsoft в стандартных функциях распределения памяти, широко используемых в нескольких операционных системах реального времени (RTOS), реализациях стандартной библиотеки C (libc) и наборах для разработки встроенного программного обеспечения (SDK).

Уязвимые устройства IoT и OT, непосредственно затронутые недостатками BadAlloc, можно найти в большом ассортименте потребительских, медицинских и промышленных сетей.

BlackBerry QNX поддерживает системы критически важной инфраструктуры

Технологии BlackBerry QNX используются во всем мире более чем 195 миллионами транспортных средств и встроенных систем в широком спектре отраслей, включая аэрокосмическую и оборонную, тяжелую технику, железную дорогу, робототехнику, промышленные системы управления, автомобилестроение, коммерческий транспорт и медицину.

Удаленные злоумышленники могут использовать устройства с более старыми версиями продуктов BlackBerry QNX, на которых не установлено исправление BadAlloc, для запуска условий отказа в обслуживании или выполнения произвольного кода в уязвимых системах на основе QNX.

«ОСРВ BlackBerry QNX используется в широком спектре продуктов, компрометация которых может привести к получению злоумышленником контроля над высокочувствительными системами, что увеличивает риск для критически важных функций страны», – предупредил CISA .

«CISA настоятельно рекомендует организациям критически важной инфраструктуры и другим организациям, разрабатывающим, обслуживающим, поддерживающим или использующим уязвимые системы на базе QNX, как можно быстрее исправлять уязвимые продукты».

Управление по санитарному надзору за качеством пищевых продуктов и медикаментов США (FDA) также выпустило сегодня отдельное предупреждение, в котором пациентам, поставщикам медицинских услуг и производителям сообщается о повышенном риске, создаваемом этими уязвимостями для медицинских устройств, включающих уязвимое программное обеспечение BlackBerry QNX.

На данный момент CISA, FDA и BlackBerry не знают об использовании этой уязвимости в реальных условиях.

Рекомендации по смягчению последствий

Предупреждение появилось после того, как BlackBerry ранее сегодня сообщила, что BadAlloc (отслеживается как CVE-2021-22156) также влияет на платформу разработки программного обеспечения QNX (SDP), ОС QNX для медицины и ОС QNX для безопасности.

Компания также рекомендует всем затронутым клиентам QNX SDP, QNX OS for Safety и QNX OS for Medical как можно скорее обновить свои продукты QNX, используя следующие ссылки (для доступа к загрузкам требуется учетная запись myQNX):

Если обновление до фиксированной версии невозможно сразу, BlackBerry рекомендует убедиться, что доступны только порты и протоколы, используемые приложениями RTOS, блокируя все остальные, чтобы уменьшить уязвимости.

Клиентам также рекомендуется избегать без надобности открывать сетевые порты, защищать сетевые устройства с помощью брандмауэров и отделять их от бизнес-сетей.

CISA призвала организации критической инфраструктуры, разрабатывающие, обслуживающие, поддерживающие или использующие уязвимые системы на базе QNX, как можно скорее исправить их.

Федеральное агентство предоставляет рекомендации по смягчению последствий для потенциально пострадавших организаций:

  • Производители продуктов, содержащих уязвимые версии, должны связаться с BlackBerry для получения исправления.
  • Производители продуктов, которые разрабатывают уникальные версии программного обеспечения RTOS, должны связаться с BlackBerry для получения кода исправления. Примечание: в некоторых случаях производителям может потребоваться разработать и протестировать свои собственные программные исправления.
  • Конечные пользователи критически важных для безопасности систем должны связаться с производителем своего продукта для получения исправления. Если исправление доступно, пользователи должны применить его как можно скорее. Если патч недоступен, пользователи должны применять рекомендуемые производителем меры по снижению риска, пока патч не будет применен.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here