image

CISA: kritiek lek in BlackBerry QNX risico voor vitale infrastructuur

woensdag 18 augustus 2021, 10:35 door Redactie, 2 reacties

Een kritieke kwetsbaarheid in BlackBerry QNX vormt een risico voor systemen die in de vitale infrastructuur worden gebruikt, zo waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. BlackBerry QNX is een real-time operating system (RTOS) dat binnen allerlei systemen van ziekenhuizen, auto's en vitale infrastructuur wordt gebruikt.

In april van dit jaar meldde Microsoft dat het een reeks kwetsbaarheden in Internet of Things (IoT)- en Operational Technology (OT)-apparaten had ontdekt met de noemer BadAlloc. De beveiligingslekken doen zich voor bij het toewijzen van geheugen en kunnen ervoor zorgen dat een aanvaller systemen kan laten crashen of overnemen.

BlackBerry QNX is ook kwetsbaar voor BadAlloc en dat kan grote gevolgen hebben, waarschuwt het CISA. "BlackBerry QNX RTOS wordt binnen een groot aantal producten gebruikt waarvan compromittering ervoor kan zorgen dat een aanvaller controle over zeer gevoelige systemen kan krijgen, wat het risico voor de kritieke functies van het land vergroot." Organisaties binnen de vitale infrastructuur worden opgeroepen hun systemen te patchen.

Tegelijkertijd heeft ook de Amerikaanse Food & Drug Administration een beveiligingsbulletin afgegeven waarin het stelt dat de kwetsbaarheid in BlackBerry QNX gevolgen voor medische apparatuur kan hebben.

Anonieme bronnen laten tegenover Politico weten dat BlackBerry in eerste instantie ontkende dat de eigen producten kwetsbaar voor BadAlloc waren en later geen publieke aankondiging wilde doen. Iets waar het uiteindelijk op terugkwam. In een reactie stelt BlackBerry dat het klanten direct informeert over kwetsbaarheden, maar dat het aanpassingen aan dit proces zal doorvoeren om klanten beter te bedienen.

Reacties (2)
18-08-2021, 10:56 door Anoniem
Qnx is niet zo heel kwetsbaar als de documentatie klopt :

Because the malloc() implementation uses signed, 32-bit integers to represent the size internally, you can't allocate more than 2 GB in a single allocation. If the size is greater than 2 GB, malloc() indicates an error of ENOMEM.
18-08-2021, 11:46 door Anoniem
Ik dacht al "waarom lees ik daar de hele tijd BlackBerry" maar kennelijk zit het zo dat het al veel langer bestaande QNX
RTOS op een gegeven moment is overgenomen door het bedrijf wat nu BlackBerry (vroeger RIM) heet.
Het gaat dus "gewoon" over QNX wat inderdaad als RTOS veel op dat soort plekken gebruikt wordt/werd.
Met andere BlackBerry producten (voor zover die nog in gebruik zijn) heeft dit dus niets te maken.

Of een bepaald apparaat door zo'n bug getroffen wordt dat hangt natuurlijk sterk af van de interfaces van een apparaat.
Zolang het alleen een human interface en medische sensors heeft kan er niet veel gebeuren, hangt er een netwerk aan
dan wordt het wellicht (maar niet noodzakelijk) een ander verhaal.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.