QNX OS Medical 1.1 von kritischer Sicherheitslücke betroffen

Blogbeitrag von Stephan Blab

Übersicht

Offenbar hat sich Blackberry über Monate hinweg geweigert, öffentlich zuzugeben, dass das eigene System QNX von einer kritischen Sicherheitslücke betroffen ist, welche eine entfernte Fremd-Codeausführung ermöglicht.

Gemäß Aussage von Blackberry sind folgende QNX-Ausgaben betroffen:

  • QNX Software Develmopment Plamtform (SDP) bis einschließlich 6.5.0SP1
  • QNX OS Medcial 1.0 sowie 1.1
  • QNX OS for Safety 1.0.1

Eine detaillierte Liste ist unter folgendem Link einsehbar. Inzwischen sind korrigierte Softwarestände vorhanden, welche im Blackberry Download Center verfügbar sind.

Außerhalb der Medizintechnik wird QNX in vielen verschiedenen Bereichen eingesetzt. Dem zufolge ermutigt die amerikanische Cybersecurity & Infrastrukture Security Agency (CISA) Organisationen mit kritischen Infrastrukturen und andere Organisationen nachdrücklich betroffene Produkte so schnell wie möglich zu patchen:

  • Hersteller von Produkten, die anfällige Versionen enthalten, sollten sich an BlackBerry wenden, um den Patch zu erhalten.
  • Hersteller von Produkten, die eigene Versionen von RTOS-Software entwickeln, sollten sich an BlackBerry wenden, um den Patchcode zu erhalten. Hinweis: In einigen Fällen müssen Hersteller möglicherweise ihre eigenen Software-Patches entwickeln und testen.
  • Endbenutzer sicherheitskritischer Systeme sollten sich an den Hersteller ihres Produkts wenden, um einen Patch zu erhalten. Wenn ein Patch verfügbar ist, sollten Benutzer den Patch so schnell wie möglich anwenden. Wenn ein Patch nicht verfügbar ist, sollten Benutzer die vom Hersteller empfohlenen Abschwächungsmaßnahmen anwenden, bis der Patch angewendet werden kann.

Gerne unterstützt Sie unser Cyber Security Team in dieser oder weiteren Herausforderungen.

Technische Details

CVE-2021-22156 ist eine Integer-Overflow-Schwachstelle, die die calloc()-Funktion in der C-Laufzeitbibliothek mehrerer BlackBerry QNX-Produkte betrifft. Die Ausnutzung dieser Sicherheitslücke kann zu einem Denial-of-Service-Zustand oder zur Ausführung willkürlichen Codes auf betroffenen Geräten führen.

Um diese Sicherheitsanfälligkeit auszunutzen, muss ein Angreifer die Kontrolle über die Parameter eines calloc()-Funktionsaufrufs und die Möglichkeit haben, zu kontrollieren, auf welchen Speicher nach der Zuweisung zugegriffen wird. Ein Angreifer mit Netzwerkzugriff kann diese Sicherheitsanfälligkeit aus der Ferne ausnutzen, sobald das betroffene Produkt operabel und aus dem Internet erreichbar ist.

Bei der CVE-2021-22156 Schwachstelle handelt es sich um eine Reihe verwandter Integer-Überlauf Sicherheitslücken, welche als BadAlloc bekannt sind. Weitere Informationen Sie im CISA ICS Advisory ICSA-21-119-04 und im BadAlloc-Blogpost von Microsoft einsehbar.

Zurück