Un atacante remoto podría ejecutar código arbitrario en los dispositivos afectados
Una importante vulnerabilidad que afecta a las versiones anteriores del sistema operativo en tiempo real QNX (RTOS) de BlackBerry podría permitir que los actores malintencionados inutilicen y obtengan el control de una variedad de productos, incluidos automóviles, equipos médicos e industriales.
La deficiencia (CVE-2021-22156, puntaje CVSS: 9.0) es parte de una colección más amplia de fallas, denominadas colectivamente BadAlloc, que fue revelada originalmente por Microsoft en abril de 2021, que podría abrir una puerta trasera en muchos de estos dispositivos, permitiendo a los atacantes comandarlos o interrumpir sus operaciones.
"Un atacante remoto podría explotar CVE-2021-22156 para causar una condición de denegación de servicio o ejecutar código arbitrario en los dispositivos afectados", dijo la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) en un boletín del martes. Al momento de escribir este artículo, no hay evidencia de explotación activa de la vulnerabilidad.
La tecnología BlackBerry QNX es utilizada en todo el mundo por más de 195 millones de vehículos y sistemas integrados en una amplia gama de industrias, incluidas la aeroespacial y de defensa, automotriz, vehículos comerciales, maquinaria pesada, controles industriales, médicos, ferroviarios y robótica.
BlackBerry, en un aviso independiente, caracterizó el problema como "una vulnerabilidad de desbordamiento de enteros en la función calloc() de la biblioteca de tiempo de ejecución C" que afecta a su plataforma de desarrollo de software QNX (SDP) versión 6.5.0SP1 y anteriores, QNX OS for Medical 1.1 y versiones anteriores, y QNX OS for Safety 1.0.1. Se recomienda a los fabricantes de dispositivos IoT y OT que incorporan sistemas basados en QNX afectados que apliquen los siguientes parches:
• QNX SDP 6.5.0 SP1: aplicar el parche de ID 4844 o actualizar a QNX SDP 6.6.0 o posterior
• QNX OS for Safety 1.0 o 1.0.1 - Actualización a QNX OS for Safety 1.0.2, y
• QNX OS for Medical 1.0 o 1.1: aplicar el parche de ID 4846 para actualizar a QNX OS for Medical 1.1.1
"Asegúrese de que solo sean accesibles los puertos y protocolos utilizados por la aplicación que utilizan RTOS, bloqueando todos los demás", sugirió BlackBerry como mitigaciones. "Siga las mejores prácticas de segmentación de red, escaneo de vulnerabilidades y detección de intrusiones apropiadas para el uso del producto QNX en su entorno de ciberseguridad para evitar el acceso malintencionado o no autorizado a dispositivos vulnerables".
En un informe separado, Politico reveló que BlackBerry se resistió a los esfuerzos para anunciar públicamente la vulnerabilidad de BadAlloc a fines de abril, citando a personas familiarizadas con el asunto, en su lugar planeó contactar en privado a sus clientes y advertirles sobre el problema, un enfoque que podría haber puesto en riesgo a varios fabricantes de dispositivos, ya que la empresa no pudo identificar a todos los proveedores que utilizan su software.
"Los representantes de BlackBerry le dijeron a CISA a principios de este año que no creían que BadAlloc hubiera afectado a sus productos, a pesar de que CISA había llegado a la conclusión de que sí", dice el informe, y agregó que "en los últimos meses, CISA presionó a BlackBerry para que aceptara las malas noticias, y finalmente logró que reconocieran que existía la vulnerabilidad".