Selon la Food and Drug Administration des États-Unis et une agence gouvernementale, une faille de cybersécurité dans le logiciel de BlackBerry Ltd pourrait mettre en danger les voitures et les équipements médicaux, ainsi qu’exposer des systèmes hautement sensibles aux attaquants.
L’annonce est intervenue après que la firme canadienne a révélé une faille dans son Système d’exploitation en temps réel QNX cela pourrait permettre à un attaquant d’exécuter du code arbitraire ou de surcharger un serveur de trafic jusqu’à ce qu’il se bloque ou s’immobilise.
« Un attaquant distant pourrait exploiter CVE-2021-22156 pour provoquer un déni de service ou exécuter du code arbitraire sur les appareils concernés. BlackBerry QNX RTOS est utilisé dans une large gamme de produits dont la compromission pourrait amener un acteur malveillant à prendre le contrôle de systèmes hautement sensibles, augmentant ainsi le risque pour les fonctions critiques de la nation », a déclaré l’alerte de CISA.
Les constructeurs automobiles tels que Moteurs Volkswagen, BMW et Ford utiliser le logiciel dans une variété d’opérations clés, y compris le Système avancé d’aide à la conduite.
« Pour le moment, CISA n’est pas au courant d’une exploitation active de cette vulnérabilité. CISA encourage fortement les organisations d’infrastructures critiques et les autres organisations développant, maintenant, prenant en charge ou utilisant des systèmes basés sur QNX affectés, à corriger les produits affectés aussi rapidement que possible.
L’agence fédérale, qui fait partie du Department of Homeland Security, et la société ont toutes deux déclaré qu’elles n’étaient au courant d’aucune exploitation active de la faiblesse à ce moment-là.
Alors même que les fabricants d’équipements médicaux analysent les systèmes susceptibles d’être compromis, la Food and Drug Administration des États-Unis a déclaré qu’elle n’était au courant d’aucun résultat indésirable.
Selon Politico, BlackBerry a initialement contesté que la vulnérabilité, nom de code BadAlloc, a affecté ses produits et s’est ensuite opposé à une déclaration publique, citant deux personnes familières avec les discussions de l’entreprise avec des responsables fédéraux de la cybersécurité, dont l’un est un employé du gouvernement.
« CISA encourage fortement les organisations d’infrastructures critiques et d’autres organisations à développer, maintenir, prendre en charge ou utiliser des systèmes basés sur QNX affectés pour corriger les produits affectés le plus rapidement possible. » dit l’alerte.
« Les fabricants de produits qui intègrent des versions vulnérables doivent contacter BlackBerry pour obtenir le correctif. Les fabricants de produits qui développent des versions uniques du logiciel RTOS doivent contacter BlackBerry pour obtenir le code de correctif », CISA a expliqué, ajoutant que certaines organisations pourraient avoir à créer leurs propres correctifs logiciels.
Selon Politico, les responsables de la CISA ont travaillé avec les industries concernées et même le ministère de la Défense sur la notification de sécurité concernant le système QNX, et la CISA informerait également les responsables internationaux sur la question.
BlackBerry a annoncé en juin que le carnet de commandes des redevances de QNX était passé à 490 millions de dollars à la fin du premier trimestre de l’exercice 2022. Aptiv, BMW, Bosch, Ford, GM, Honda, Mercedes-Benz, Toyota et Volkswagen se vantent tous que leur technologie est utilisée dans des millions d’automobiles.