BadAlloc缺陷影响了用于数百万辆汽车和医疗设备的黑莓QNX

影响黑莓QNX实时操作系统（RTOS）旧版本的一个主要漏洞可能会让恶意参与者破坏和控制各种产品，包括汽车、医疗和工业设备。

缺点（CVE-2021-22156，CVSS评分：9）是一个更广泛的缺陷集合的一部分，共同被称为BADALOC，最初是由微软在2021年4月公开的，它可以打开许多设备的后门，允许攻击者强行或破坏他们的操作。

“远程攻击者可以利用CVE-2021-22156在受影响的设备上造成拒绝服务条件或执行任意代码，”美国网络安全和基础设施安全局（CISA）在周二的公告中说。截至撰写本文时，没有证据表明该漏洞被积极利用。

BlackBerry QNX技术在全球范围内被超过1.95亿辆汽车和嵌入式系统所使用，涉及的行业包括航空航天和国防、汽车、商用车辆、重型机械、工业控制、医疗、铁路和机器人。

黑莓（BlackBerry）在一份独立的咨询报告中称，该问题是“C运行时库的calloc（）函数中存在整数溢出漏洞”，影响其QNX软件开发平台（SDP）6.5.0SP1及更低版本、QNX OS for Medical 1.1及更低版本，以及QNX OS for Safety 1.0.1。建议采用受影响QNX系统的物联网和OT设备制造商应用以下补丁-

• QNX SDP 6.5.0 SP1-将补丁ID 4844或更新应用于QNX SDP 6.6.0或更高版本
• 安全1.0或1.0.1的QNX操作系统-安全1.0.2版QNX操作系统更新，以及
• 用于医疗1.0或1.1的QNX操作系统-应用补丁ID 4846更新到QNX OS for Medical 1.1.1

“确保只有使用RTO的应用程序使用的端口和协议是可访问的，阻止所有其他端口和协议，”BlackBerry建议作为缓解措施。“遵循适合在网络安全环境中使用QNX产品的网络分段、漏洞扫描和入侵检测最佳做法，以防止恶意或未经授权访问易受攻击的设备。”

Politico在另一份报告中透露，黑莓拒绝在4月底公开宣布BadAlloc漏洞，理由是知情人士，而是选择私下联系其客户，并警告他们该问题—；一种可能会让多家设备制造商面临风险的方法—；但在该公司无法确定使用其软件的所有供应商后，该公司才开始回溯。

“黑莓代表今年早些时候告诉CISA，他们不认为BadAlloc影响了他们的产品，尽管CISA已经得出结论，确实如此，”该报告说，并补充说，“在过去几个月里，CISA迫使黑莓接受了这个坏消息，最终让他们承认存在漏洞。”