CISA就黑莓产品中的BadAlloc漏洞发布警报,该漏洞影响近2亿辆汽车以及成千上万的工业控制、医疗工具等设备。
漏洞影响近2亿辆汽车
8月17日,黑莓公司发布公告称其用于医疗设备、汽车、工厂甚至国际空间站的QNX实时操作系统可能受到漏洞BadAlloc的影响。前不久,黑莓公司刚刚宣传该实时操作系统已在2亿辆汽车上投入使用。
BadAlloc是一个整数溢出漏洞集合,涵盖了超过25个漏洞,影响多个黑莓QNX系统的C语言运行库中的calloc()函数。利用该漏洞可以使受影响设备出现拒绝服务的情况或执行任意代码。
要利用这一漏洞,攻击者必须控制调用 calloc()函数的参数,并能控制分配后的内存访问。如果受影响的产品正在运行,并且受影响的设备暴露在互联网上,那么有网络访问权的攻击者可以远程利用这个漏洞。
该漏洞影响范围如下:
据黑莓称,该漏洞没有解决方法,但他们指出,用户可以通过启用ASLR地址空间随机化来降低受攻击的可能性。
目前,CISA还没有捕捉到对这一漏洞的利用,但关键基础设施组织和其他开发、维护、支持或使用受影响的基于QNX的系统的组织,应当尽快修补受影响的产品。
黑莓曾试图隐瞒该漏洞
据Politico消息,两名相关人士(其中一名是政府官员)表示,黑莓最初否认 BadAlloc漏洞对其产品有影响,并且拒绝公开声明承认此事。在CISA的督促下,黑莓才承认该漏洞的存在。
今年4月,微软的安全研究人员就发现了该漏洞,并且发现该漏洞存在于多家公司的操作系统和软件中。5月,一些受影响的公司与国土安全部的网络安全和基础设施安全局合作,公开披露了漏洞并敦促用户修补他们的设备。
但是黑莓却不在其中。
据透露,黑莓打算私下直接联系客户,以提醒该漏洞的存在。
事实上,黑莓并不是唯一这么做的公司。许多企业喜欢私下提醒用户修复,因为这样可以避免让攻击者趁机攻击,也可以减少因漏洞带来的负面评价以及经济损失。
但是私下通知的形式只能提醒一小部分受影响的公司。黑莓告诉CISA,他们无法识别每一个使用该系统的个人、企业,以向他们发出警告。并且,随着时间的推移,黑莓也意识到了公开披露或许会带来更多的好处。
因此,最终黑莓同意了发布公告以督促用户进行升级。