CISA ออกเตือนช่องโหว่ ‘BadAlloac’ บน QNX RTOS หวั่นกระทบระบบ Infrastructure สำคัญ

CISA ได้ออกโรงเตือนช่องโหว่ CVE-2021-22156 หรือกลุ่มช่องโหว่ ‘BadAlloc’ ใน Real-Time Operating System จาก Blackberry ซึ่งคาดว่าอาจจะส่งผลกระทบในวงกว้างไปถึงระบบ Infrastructure ในงานสำคัญระดับประเทศ

Credit: Ignatov/ShutterStock

QNX RTOS มีการใช้งานในยานพาหนะกว่า 195 ล้านคัน รวมถึงระบบ Embedded ในอุตสาหกรรมของ อวกาศและการป้องกัน พาหนะขับเคลื่อนอัตโนมัติ เครื่องจักรหนัก ICS หุ่นยนต์ และอุปกรณ์ทางการแพทย์ ซึ่งจะเห็นได้ว่ามีผลกระทบในวงกว้าง

BadAlloac คือชุดของช่องโหว่ในอุปกรณ์ IoT และ OT ซึ่งถูกเปิดเผยโดยทีม Microsoft Section 52 เมื่อหลายเดือนก่อน โดยช่องโหว่เหล่านี้เกิดขึ้นจากฟังก์ชันของ memory เช่น malloc, calloc, realloc, memalign, valloc, pvalloc และอื่นๆ ที่นำไปสู่การลอบรันโค้ดจากทางไกลได้ ด้วย CVE ต่างๆถึง 25 รายการ

สำหรับ CVE-2021-22156 ก็เช่นกัน คนร้ายสามารถใช้เพื่อทำ DoS หรือเข้าควบคุมอุปกรณ์ได้ ซึ่งทาง Blackberry ได้เผยถึงผลกระทบกับ QNX Software Development Platform (SDP), QNX OS for Medical และ QNX OS for Safety โดยติดตามรายละเอียดการแก้ไขได้ที่ https://support.blackberry.com/kb/articleDetail?articleNumber=000082334

หากการแก้ไขนั้นยังไม่สามารถทำได้ทันทีผู้ดูแลควรจะจำกัดการเข้าถึงพอร์ตอย่างเหมาะสม หรือแยกจุดที่มีช่องโหว่ออกจากเครือข่ายสำคัญทางธุรกิจ

ที่มา : https://www.infosecurity-magazine.com/news/cisa-patch-critical-blackberry-qnx/ และ https://msrc-blog.microsoft.com/2021/04/29/badalloc-memory-allocation-vulnerabilities-could-affect-wide-range-of-iot-and-ot-devices-in-industrial-medical-and-enterprise-networks/ และ https://www.bleepingcomputer.com/news/security/cisa-badalloc-impacts-critical-infrastructure-using-blackberry-qnx/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Google Cloud VMware Engine รองรับการปรับจำนวน CPU Core แล้ว

Google Cloud VMware Engine รองรับการปรับจำนวน Physical CPU Core แล้ว ช่วยให้ลูกค้าประหยัดค่า License ได้

MITRE เปิดตัว Security Framework สำหรับ Software Supply Chain

MITRE เปิดตัว Security Framework สำหรับ Software Supply Chain