黑莓QNX实时操作系统漏洞,影响数百万汽车和医疗设备

BadAlloc缺陷影响数百万汽车和医疗器械的BlackBerry QNX

影响黑莓 QNX 实时操作系统 (RTOS) 旧版本的一个主要漏洞可能允许恶意行为者削弱并控制各种产品,包括汽车、医疗和工业设备。

漏洞CVE-2021-22156(CVSS 评分:9.0)是更广泛的漏洞集合的一部分,统称为BadAlloc,最初由微软于 2021 年 4 月披露,它可以打开许多这些设备的后门,允许攻击者征用他们或扰乱他们的行动。

“远程攻击者可以利用CVE-2021-22156导致拒绝服务的情况或受影响的设备上执行任意代码,”美国网络安全和基础设施安全局(CISA)说,在周二的公告。在撰写本文时,没有证据表明该漏洞被积极利用。

黑莓QNX技术使用超过1.95亿辆范围内并在广泛的行业,包括航空与国防,汽车,商用车,重型机械,工业控制,医疗,铁路,和机器人的嵌入式系统。

黑莓在一份独立公告中将该问题描述为“C 运行时库的 calloc() 函数中的整数溢出漏洞”,影响其 QNX 软件开发平台 (SDP) 6.5.0SP1 及更早版本、QNX OS for Medical 1.1 和更早的版本和 QNX OS for Safety 1.0.1。建议包含受影响的基于 QNX 的系统的 IoT 和 OT 设备制造商应用以下补丁 –

  • QNX SDP 6.5.0 SP1 – 应用补丁 ID 4844 或更新到 QNX SDP 6.6.0 或更高版本
  • QNX OS for Safety 1.0 或 1.0.1 – 更新到 QNX OS for Safety 1.0.2,以及
  • QNX OS for Medical 1.0 或 1.1 – 应用补丁 ID 4846 更新到 QNX OS for Medical 1.1.1

“确保只有使用 RTOS 的应用程序使用的端口和协议是可访问的,阻止所有其他端口和协议,”黑莓建议作为缓解措施。“遵循适合在您的网络安全环境中使用 QNX 产品的网络分段、漏洞扫描和入侵检测最佳实践,以防止对易受攻击的设备进行恶意或未经授权的访问。”

在另一份报告中,Politico透露,黑莓拒绝在 4 月下旬公开宣布BadAlloc 漏洞,并援引知情人士的话说,而是选择私下联系其客户并警告他们这个问题——这种方法可能会使多个设备制造商面临风险 – 只有在公司无法识别使用其软件的所有供应商后才回溯。

“黑莓代表在今年早些时候告诉 CISA,他们不相信 BadAlloc 影响了他们的产品,尽管 CISA 得出的结论是,”报告称,并补充说“在过去的几个月里,CISA 推动黑莓接受坏消息,最终让他们承认存在漏洞。”

 

黑莓QNX实时操作系统漏洞,影响数百万汽车和医疗设备

极牛网精选文章《黑莓QNX实时操作系统漏洞,影响数百万汽车和医疗设备》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/15926.html

(30)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
威胁感知的头像威胁感知认证作者
上一篇 2021年8月19日 上午11:54
下一篇 2021年8月19日 下午7:10

相关推荐

发表回复

登录后才能评论
扫码关注
扫码关注
分享本页
返回顶部