Una importante vulnerabilidad que afecta a las versiones anteriores del sistema operativo en tiempo real (RTOS) BlackBerry QNX podría permitir que jugadores maliciosos paralizaran y obtuvieran el control de una gama de productos, incluidos equipos automotrices, médicos e industriales.

La deficiencia (CVE-2021-22156, puntaje CVSS: 9.0) es parte de un conjunto más amplio de deficiencias, denominadas colectivamente BadAlloc, que Microsoft descubrió originalmente en abril de 2021, lo que podría abrir la puerta trasera a muchos de estos dispositivos y permitir atacantes para controlar o interrumpir sus operaciones.

“Un atacante remoto podría explotar CVE-2021-22156 para desencadenar una denegación de servicio o ejecutar código arbitrario en los dispositivos afectados”, dijo la Agencia de Seguridad de Infraestructura y Seguridad Cibernética de EE. UU. (CISA) en un boletín este martes. Al momento de escribir este artículo, no hay evidencia de explotación activa de esta vulnerabilidad.

La tecnología BlackBerry QNX es utilizada en todo el mundo por más de 195 millones de vehículos y sistemas integrados en una amplia gama de industrias, incluidas la aeroespacial y de defensa, automotriz, vehículos comerciales, maquinaria pesada, control industrial, atención médica, ferrocarriles y robótica.

En una consultoría independiente, BlackBerry describió el problema como una «vulnerabilidad de desbordamiento de enteros en la función calloc () del tiempo de ejecución de C» que afecta a su plataforma de desarrollo de software QNX (SDP) versión 6.5.0SP1 y anteriores, QNX OS para médicos 1.1 y anteriores, y QNX OS por seguridad 1.0.1. Se recomienda a los fabricantes de equipos IoT y OT que incluyen los sistemas basados ​​en QNX afectados que apliquen las siguientes correcciones:

• QNX SDP 6.5.0 SP1 – Aplique el parche ID 4844 o actualice a QNX SDP 6.6.0 o posterior
• Sistema operativo QNX para seguridad 1.0 o 1.0.1 – Actualización a QNX OS para seguridad 1.0.2 y
• Sistema operativo QNX para aplicaciones médicas 1.0 o 1.1 – Use el ID de parche 4846 para actualizar a QNX OS for Medical 1.1.1

«Asegúrese de que solo los puertos y protocolos utilizados por las aplicaciones RTOS sean accesibles, bloqueando todos los demás», sugirió BlackBerry como mitigación. «Siga las mejores prácticas de segmentación de red, escaneo de vulnerabilidades y detección de intrusos para usar QNX en su entorno de ciberseguridad para evitar el acceso malicioso o no autorizado a dispositivos vulnerables».

En un informe separado, Politico reveló que BlackBerry se había resistido a los intentos de informar públicamente sobre una vulnerabilidad de BadAlloc a fines de abril, refiriéndose a personas familiarizadas con el problema, y ​​en su lugar eligió contactar a sus clientes en privado y advertirles sobre un problema, un enfoque que podría tener múltiples dispositivos. fabricantes en riesgo: solo regresará después de que una empresa no haya podido identificar a todos los proveedores que utilizan su software.

«Los funcionarios de BlackBerry le dijeron a CISA a principios de este año que no creían que BadAlloc hubiera afectado sus productos, aunque CISA concluyó que sí», dice el informe, y agrega que en los últimos meses CISA ha presionado a BlackBerry para que acepte malas noticias. , al final, lograr que reconozcan que la vulnerabilidad existe”.