Hệ điều hành QNX Realtime của BlackBerry dính lỗ hổng BadAlloc. Đáng chú ý, nó đang dùng trong nhiều thiết bị y tế, xe hơi, nhà máy, Trạm Không gian Quốc tế (ISS).
Cơ quan An ninh mạng Mỹ (CISA) vừa đưa cảnh báo về hàng loạt sản phẩm BlackBerry bị ảnh hưởng bởi lỗ hổng BadAlloc. Vào ngày 17/8, BlackBerry cũng thông tin về việc hệ điều hành QNX Realtime (QNX RTOS) có thể dính BadAlloc. Gần đây, công ty cho biết QNX RTOS đang dùng trong gần 200 triệu xe hơi của Aptiv, BMW, Bosch, Ford, GM, Honda, Mercedes-Benz, Toyota và Volkswagen. Ngoài ra, nó còn xuất hiện trong các thiết bị y tế, nhà máy, thậm chí ISS.
Theo CISA, các thiết bị IoT, các hệ thống kiểm soát công nghiệp, công nghệ vận hành đã tích hợp QNX Realtime cần thực hiện ngay các biện pháp bảo vệ hệ thống. BlackBerry đã công bố danh sách đầy đủ các sản phẩm bị ảnh hưởng (tại đây).
Cảnh báo của CISA nêu rõ một kẻ tấn công có thể khai thác lỗ hổng CVE-2021-22156 để tấn công từ chối dịch vụ hay triển khai mã nhị phân trên thiết bị dính lỗi. Do BlackBerry QNX RTOS đang được dùng trong nhiều sản phẩm, nếu kẻ xấu chiếm quyền các hệ thống nhạy cảm, sẽ làm tăng rủi ro đối với các chức năng trọng yếu của quốc gia. Dù vậy, tại thời điểm hiện tại, CISA chưa phát hiện bất kỳ hành vi khai thác lỗ hổng nào. CISA khuyến cáo các tổ chức vá sản phẩm nhanh nhất có thể.
Vẫn theo CISA, một số cập nhật đối với RTOS yêu cầu loại bỏ thiết bị hoặc đưa chúng đến một địa điểm để thay thế bộ nhớ tích hợp./.