In het QNX Real Time Operating System van BlackBerry is een ernstige BadAlloc-kwetsbaarheid ontdekt. Het patchen van deze kwetsbaarheid verdient de hoogste aandacht volgens de leverancier, die eerder het bestaan ervan zou hebben ontkend.
Het QNX Real Time Operating System van BlackBerry wordt vooral toegepast in embedded systemen. Dit zijn onder meer auto’s, maar ook medische devices, fabriekssystemen en zelfs systemen in het International Space Station (ISS).
De nu gevonden BadAlloc-kwetsbaarheid is een integer overflow-kwetsbaarheid in de calloc() -functionaliteit van de C runtime library. Wanneer hackers van deze kwetsbaarheid misbruik maken, kunnen zij een DDoS-aanval uitvoeren of een willekeurige code uitvoeren. Volgens BlackBerry zou de kwetsbaarheid nog niet zijn misbruikt.
Getroffen versies
Getroffen versies van de software zijn het BlackBerry QNX Software Development Platform (SDP) versie 6.5.0SP1 en eerdere versies, QNX OS for Medical 1.1 en eerdere versies en QNX OS for Safety versie 1.0.1 en eerdere versies. Uit documentatie van de Amerikaanse toezichthouder CISA blijkt echter dat nog meer QNX-producten dan BlackBerry heeft vermeld door de kwetsbaarheid zijn getroffen. Vooral gaat het daarbij om medische toepassingen.
Pikante ontwikkelingen rondom disclosure
Wat de nu aangetroffen kwetsbaarheid echter pikant maakt, is dat BlackBerry het bestaan van de kwetsbaarheid in zijn QNX OS zou hebben ontkend. Al in april dit jaar hebben experts van Microsoft aangegeven dat de BadAlloc-kwetsbaarheid bestond. Niet alleen het OS van BlackBerry wordt hierdoor getroffen, maar ook software van andere leveranciers.
BlackBerry negeerde het advies en weigerde aanpassingen door te voeren. In discussies met de Amerikaanse cybersecuritytoezichthouder CISA bleef de leverancier ontkennen. Na druk wilde het bedrijf wel individuele klanten waarschuwen, maar dit was voor de toezichthouder niet genoeg. Uiteindelijk heeft CISA BlackBerry zo onder druk gezet dat het wel een full disclosure moest doen.
Het is niet bekend waarom BlackBerry geen disclosure wilde doen. In een reactie geeft het bedrijf aan dat het alleen individuele klanten benadert in het geval van aangetroffen kwetsbaarheden. Vandaar waarschijnlijk halsstarrige houding tegenover full disclosure.
Inmiddels zijn patches beschikbaar en Blackberry roept op deze zo snel mogelijk uit te voeren.
3 uur geleden
Expert bijdrage
