CISA: kritiek lek in BlackBerry QNX risico voor vitale infrastructuur

[Captain Kirk]

Een kritieke kwetsbaarheid in BlackBerry QNX vormt een risico voor systemen die in de vitale infrastructuur worden gebruikt, zo waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. BlackBerry QNX is een real-time operating system (RTOS) dat binnen allerlei systemen van ziekenhuizen, auto's en vitale infrastructuur wordt gebruikt.

In april van dit jaar meldde Microsoft dat het een reeks kwetsbaarheden in Internet of Things (IoT)- en Operational Technology (OT)-apparaten had ontdekt met de noemer BadAlloc. De beveiligingslekken doen zich voor bij het toewijzen van geheugen en kunnen ervoor zorgen dat een aanvaller systemen kan laten crashen of overnemen.

BlackBerry QNX is ook kwetsbaar voor BadAlloc en dat kan grote gevolgen hebben, waarschuwt het CISA. "BlackBerry QNX RTOS wordt binnen een groot aantal producten gebruikt waarvan compromittering ervoor kan zorgen dat een aanvaller controle over zeer gevoelige systemen kan krijgen, wat het risico voor de kritieke functies van het land vergroot." Organisaties binnen de vitale infrastructuur worden opgeroepen hun systemen te patchen.

Tegelijkertijd heeft ook de Amerikaanse Food & Drug Administration een beveiligingsbulletin afgegeven waarin het stelt dat de kwetsbaarheid in BlackBerry QNX gevolgen voor medische apparatuur kan hebben.

Anonieme bronnen laten tegenover Politico weten dat BlackBerry in eerste instantie ontkende dat de eigen producten kwetsbaar voor BadAlloc waren en later geen publieke aankondiging wilde doen. Iets waar het uiteindelijk op terugkwam. In een reactie stelt BlackBerry dat het klanten direct informeert over kwetsbaarheden, maar dat het aanpassingen aan dit proces zal doorvoeren om klanten beter te bedienen.

 

bron: https://www.security.nl