BlackBerry'de Güvenlik Açığı: Ürünlerde Uzaktan Kod Yürütülmesine Neden Olabilir
Nisan ayında Microsoft, Nesnelerin İnterneti (IoT) ve Operasyonel Teknoloji (OT) cihazlarını etkileyen "BadAlloc" adlı bir dizi güvenlik açığını vurgulamıştı. Bellek açıklarının sağlık, endüstri, otomotiv ve kurumsal dahil olmak üzere birden fazla sektörde milyonlarca cihazda uzaktan kod yürütmeyi (RCE) tetiklemek için kullanılabileceğini belirtti. BlackBerry dün, ürünlerinin birçoğunun bir BadAlloc güvenlik açığından etkilendiğini ve İç Güvenlik Bakanlığı'nın (DHS) Siber Güvenlik ve Altyapı Ajansı'nın (CISA) konuyla ilgili bir tavsiye yayınladığını açıkladı.
CVE-2021-22156 BadAlloc güvenlik açığı, BlackBerry'nin QNX Gerçek Zamanlı İşletim Sistemini (RTOS) çalıştıran donanımı etkiler. Bu güvenlik açığından etkilenen ürünlerin tam listesini burada CISA'nın tavsiyesinde bulabilirsiniz, ancak bunun tıbbi cihazları, otomotiv platformlarını ve Neutrino QNX Secure Kernel'i ve diğerlerini etkilediğini bilmek önemlidir.
Özetle, mevcut güvenlik açığı, ağ erişimine sahip kötü niyetli bir aktörün internete maruz kalan etkilenen bir cihaza saldırmasına izin verebilir. Gelişmiş bir saldırgan, bir tamsayı taşmasını tetiklemek için calloc() işlevi üzerinde denetim kazanarak, RCE veya hizmet reddi koşullarını başlatabilecekleri diğer bellek konumlarına erişim sağlayabilir.
Bu sorundan etkilenen BlackBerry ürünlerinin kritikliği göz önüne alındığında, CISA, üreticiler ve son kullanıcılar tarafından hemen uygulanması gereken azaltıcı önlemlerin ana hatlarını çizdi. İlki, yamaları almak için acil olarak BlackBerry ile temasa geçmek zorundayken, ikincisi, mevcut olduğunda hemen uygulanması gereken yamaları sağlamak için üreticilerle iletişime geçmeleri isteniyor. Yama henüz mevcut değilse, üreticiler tarafından sağlanan azaltmalar uygulanmalıdır. CISA ayrıca bazı durumlarda, etkilenen donanımın hizmetten çıkarılması ve "entegre belleğin fiziksel olarak değiştirilmesi" için saha dışı bir konuma götürülmesi gerekebileceği konusunda da uyardı. Bu güvenlik açığından şu anda yararlanılıp yararlanılmadığı bilinmiyor.