Une vulnérabilité majeure affectant les anciennes versions du système d’exploitation en temps réel (RTOS) QNX de BlackBerry pourrait permettre à des acteurs malveillants de paralyser et de prendre le contrôle de divers produits, notamment des voitures, des équipements médicaux et industriels.
La lacune (CVE-2021-22156, score CVSS : 9,0) fait partie d’un ensemble plus large de failles, collectivement baptisées BadAlloc, qui a été divulguée à l’origine par Microsoft en avril 2021, qui pourrait ouvrir une porte dérobée dans bon nombre de ces appareils, permettant aux attaquants pour les réquisitionner ou perturber leurs opérations.
« Un attaquant distant pourrait exploiter CVE-2021-22156 pour provoquer une condition de déni de service ou exécuter du code arbitraire sur les appareils affectés », l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) mentionné dans un bulletin du mardi. Au moment de la rédaction, il n’y a aucune preuve d’exploitation active de la vulnérabilité.
La technologie BlackBerry QNX est utilisé dans le monde entier par plus de 195 millions de véhicules et de systèmes embarqués dans un large éventail d’industries, notamment l’aérospatiale et la défense, l’automobile, les véhicules utilitaires, les machines lourdes, les contrôles industriels, le médical, le rail et la robotique.
BlackBerry, dans un avis indépendant, a qualifié le problème de « vulnérabilité de débordement d’entier dans la fonction calloc() de la bibliothèque d’exécution C » affectant sa plate-forme de développement logiciel QNX (SDP) version 6.5.0SP1 et antérieure, QNX OS for Medical 1.1 et plus tôt, et QNX OS pour la sécurité 1.0.1. Il est conseillé aux fabricants d’appareils IoT et OT qui intègrent les systèmes QNX concernés d’appliquer les correctifs suivants :
- QNX SDP 6.5.0 SP1 – Appliquer l’ID de correctif 4844 ou mettre à jour vers QNX SDP 6.6.0 ou version ultérieure
- QNX OS pour la sécurité 1.0 ou 1.0.1 – Mise à jour vers QNX OS pour la sécurité 1.0.2, et
- QNX OS pour Medical 1.0 ou 1.1 – Appliquer le patch ID 4846 pour mettre à jour vers QNX OS for Medical 1.1.1
« Assurez-vous que seuls les ports et protocoles utilisés par l’application utilisant le RTOS sont accessibles, en bloquant tous les autres », BlackBerry suggéré comme atténuations. « Suivez les meilleures pratiques de segmentation du réseau, d’analyse des vulnérabilités et de détection d’intrusion appropriées pour l’utilisation du produit QNX dans votre environnement de cybersécurité afin d’empêcher l’accès malveillant ou non autorisé aux appareils vulnérables. »
Dans un rapport séparé, Politico révélé que BlackBerry a résisté aux efforts de annoncer publiquement la vulnérabilité BadAlloc fin avril, citant des personnes proches du dossier, prévoyait plutôt de contacter en privé ses clients et de les avertir du problème – une approche qui aurait pu mettre en danger plusieurs fabricants d’appareils, car la société n’a pas pu identifier tous les fournisseurs utilisant son logiciel.
« Les représentants de BlackBerry ont déclaré à la CISA plus tôt cette année qu’ils ne pensaient pas que BadAlloc avait eu un impact sur leurs produits, même si la CISA avait conclu que c’était le cas », indique le rapport, ajoutant « au cours des derniers mois, la CISA a poussé BlackBerry à accepter la mauvaise nouvelle. , les amenant finalement à reconnaître l’existence de la vulnérabilité. »