CISA 警告:重要インフラに深刻な影響をおよぼす BlackBerry QNX の BadAlloc 脆弱性

CISA: BadAlloc impacts critical infrastructure using BlackBerry QNX

2021/08/17 BleepingComputer — 今日に CISA は、BadAlloc と呼ばれる IoT / OT のセキュリティ欠陥が、重要インフラ企業が使用する BlackBerry の、QNX Real Time Operating System (RTOS) に影響をおよぼすと警告した。BadAlloc とは、メモリ割り当ての際に発生する、整数オーバーフローやラップ・アラウンドのバグを原因とする、25件の脆弱性のコレクションのことである。これらの脆弱性は Microsoft の研究者が発見した、標準的なメモリ割り当て関数に存在するものであり、複数の RTOS および C 標準ライブラリ (libc) の実装や、組み込み SDK に影響する。BadAlloc 欠陥の影響をダイレクトに受ける、脆弱な IoT / OT デバイスは、コンシューマに利用されるだけではなく、医療用/産業用ネットワーク上に数多く存している。

BlackBerry QNX が重要なインフラス・システムを強化したが

BlackBerry QNX のテクノロジーは、航空宇宙・防衛、重機、鉄道、ロボット、産業制御、自動車、商用車、医療などの幅広い産業分野において、世界中で 1億9500万台以上の車両や組み込みシステムで使用されている。リモートの攻撃者は、BadAlloc に対するパッチが適用されていない、旧バージョンの BlackBerry QNX デバイスを悪用して、脆弱な QNX ベースのシステム上で、サービス拒否や任意のコード実行を発生させることが可能だ。CISA は、「BlackBerry QNX RTOS は、多様な製品で使用されており、これらの製品が侵害された場合には、きわめて重要なシステムが脅威アクターにコントロールされ、国家の重要機能に対するリスクが高まる」と警告している。CISA は、QNX ベースのシステムを開発/保守/サポート/使用している、重要なインフラなどを所有する組織に対して、影響を受ける製品用のパッチを、可能な限り迅速に適用することを強く推奨している。また、米国食品医薬品局 (FDA : Food and Drug Administration) もステートメントを発表し、脆弱な BlackBerry QNX を組み込んだ医療機器について、これらの脆弱性によりリスクが高まることを患者/医療従事者/メーカーに警告している。現在のところ、CISA / FDA / BlackBerry は、この脆弱性が悪用されたことを確認していない。

緩和策の推奨

今回の警告は、BlackBerry が BadAlloc (CVE-2021-22156) について、QNX Software Development Platform (SDP) / QNX OS for Medical / QNX OS for Safety に影響すると公表したことを受けてのものだ。影響を受ける QNX SDP / QNX OS for Safety / QNX OS for Medical を利用している顧客は、以下のリンクを使用して早急に、QNX 製品をアップデートすべきだ (ダウンロードには myQNX アカウントが必要)。

・6.5.0SP1 https://www.qnx.com/download/feature.html?programid=59649
・QNX OS for Safety 1.0.2 https://www.qnx.com/download/group.html?programid=27165
・QNX OS for Medical 1.1.1 https://www.qnx.com/download/group.html?programid=26463

修正版へのアップデートが直ぐにできない場合には、脆弱性を軽減するために、RTOS アプリが使用するポート/プロトコルのみへのアクセスを可能にするために、それ以外のポート/プロトコルをブロックすることが推奨されている。また、ネットワーク・ポートを不必要に公開しなこと、ファイアウォールを用いてネットワーク・デバイスを保護すること、ビジネス・ネットワークから分離するが、推奨されている。CISA は、QNX ベースのシステムを開発/保守/サポート/使用している重要なインフラストラクチャ組織に対して、早急にパッチを適用するよう求めている。また、連邦政府機関は、影響を受ける可能性のある企業に対して緩和策を提供している。

・脆弱性のあるバージョンを組み込んだ製品の製造者は、BlackBerry に連絡してパッチを入手してほしい。
・RTOS ソフトウェアの独自バージョンを開発している場合には、BlackBerry に連絡してパッチコードを入手してほしい。注:場合によっては、製造者が独自のソフトウェアパッチを開発/テストする必要がある。
・セーフティ・クリティカルなシステムを使用するエンドユーザーは、製品の製造元に連絡してパッチを入手してほしい。パッチが入手可能な場合には、ユーザーは可能な限り早くパッチを適用する必要がある。パッチが入手できない場合には、パッチが適用できるようになるまで、メーカーが推奨する緩和策を適用する必要がある。

BlackBerry QNX ですが、こんなに広く使われているとは思いもしませんでした。The Hacker News でも、このトピックは報道されており、自動車などの組み込みシステムで、約2億の製品で利用されているとのことです。また、脆弱性 CVE-2021-22156 は、先週にキュレーションチームが拾っていました。先日の RealTek と同様に、サプライチェーンの安全性確認が問われる話です。

%d bloggers like this: