Haavoittuvuus24/2021CVSS 9
Tietyt BlackBerryn QNX-reaaliaikakäyttöjärjestelmäversiot ovat alttiita BadAlloc-haavoittuvuudelle CVE-2021-22156. QNX-järjestelmää käytetään sadoissa miljoonissa laitteissa maailmanlaajuisesti.
Haavoittuvuudet voivat vaikuttaa kuluttajakäyttöön ja lääketieteelliseen käyttöön suunnatuista IoT-laitteista ja autoista aina teollisuusautomaatiojärjestelmiin saakka. Kuluttajalta ei kuitenkaan vaadita mitään toimenpiteitä tämän haavoittuvuuden suhteen, vaan päivittäminen tapahtuu laitevalmistajatasolla.
Useiden reaaliaikakäyttöjärjestelmien (RTOS), ohjelmistokehitykseen käytettävien työkalupakettien (SDK) sekä C-ohjelmointikielen kirjastojen (libc) muistinkäyttöön liittyvistä funktioista on löytynyt kriittisiä haavoittuvuuksia. Mikäli QNX-käyttöjärjestelmällä on verkkorajapinta, voi haavoittuvuudelle löytyä hyödyntämismekanismi. Laitteessa voi olla myös käytössä kontrolleja, jotka lieventävät haavoittuvuuden kriittisyyttä - vaikutus on toteutuskohtainen. Kyberturvallisuuskeskuksella ei ole toistaiseksi konkreettista tietoa yhdestäkään haavoittuvasta laitteesta tai haavoittuvuuden hyväksikäytöstä Suomessa tai maailmalla.
Kyseessä on jo aiemmin löydetty BadAlloc-haavoittuvuuskokonaisuus (Ulkoinen linkki) (ulkoinen linkki). Haavoittuvuuden avulla on mahdollista suorittaa etänä komentoja verkossa oleviin laitteisiin. On myös mahdollista aiheuttaa palvelunestotila jollekin tärkeälle komponentille järjestelmässä. Potentiaalisia vaikutusalueita haavoittuvuudelle ovat esimerkiksi terveys, liikenne -ja energiasektori.
Haavoittuvuuden vaikutukset ovat tuotekohtaisia, tyypillisin vaikutus on se, että sopivan haitallista syötettä lähettämällä laitteen toiminta voi estyä eli voi syntyä palvelunestotila ja siten laite ei kykene valvomaan tai ohjaamaan vastuullaan olevaa prosessia.
QNX ei ole ainoa käyttöjärjestelmä, jossa tämä ongelma on olemassa, vaan BadAlloc-haavoittuvuus vaikuttaa monissa muissakin reaaliaikakäyttöjärjestelmissä.
Kohde
- Sulautetut järjestelmät
Hyökkäystapa
- Etäkäyttö
- Paikallisesti
Vaikutukset
- Palvelunestohyökkäys
- Komentojen mielivaltainen suorittaminen
Hyväksikäyttömenetelmä tiedossa
- Ei julkaistu
Ratkaisu
- Korjaava ohjelmistopäivitys
Haavoittuvuuden kohde
QNX SDP 6.5.0SP1
QNX SDP 6.5.0
QNX SDP 6.4.1
QNX SDP 6.4.0
QNX Momentics Development Suite 6.3.2
QNX Momentics 6.3.0SP3
QNX Momentics 6.3.0SP2
QNX Momentics 6.3.0SP1
QNX Momentics 6.3.0
QNX Momentics 6.2.1b
QNX Momentics 6.2.1
QNX Momentics 6.2.1A
QNX Momentics 6.2.0
QNX Realtime Platform 6.1.0a
QNX Realtime Platform 6.1.0
QNX Realtime Platform 6.0.0a
QNX Realtime Platform 6.0.0
QNX Cross Development Kit 6.0.0
QNX Development Kit (Self-hosted) 6.0.0
QNX Cross Development Kit 6.1.0
QNX Development Kit (Self-hosted) 6.1.0
QNX Neutrino RTOS Safe Kernel 1.0
QNX Neutrino RTOS Certified Plus 1.0
QNX Neutrino RTOS for Medical Devices 1.0
QNX Neutrino RTOS for Medical Devices 1.1
QNX OS for Automotive Safety 1.0
QNX OS for Safety 1.0
QNX OS for Safety 1.0.1
QNX Neutrino Secure Kernel 6.4.0
QNX Neutrino Secure Kernel 6.5.0
QNX CAR Development Platform 2.0RR
Sama listaus haavoittuvista laitteista on löydettävissä myös olevasta ulkoisesta linkistä:
https://www.qnx.com/support/knowledgebase.html?id=5015Y000001SX2z
Mistä on kysymys?
BlackBerryn ohjeet rajoittaviin toimenpiteisiin ulkoisesta linkistä:
https://support.blackberry.com/kb/articleDetail?articleNumber=000082334