Una falla potenzialmente grave è stata scovata nel software QNX messo a disposizione da BlackBerry, impiegato nel settore automobilistico sui veicoli e in quello sanitario per la gestione dell’equipaggiamento medico. L’allerta è stata lanciata oltreoceano da CISA (Cybersecurity and Infrastructure Security Agency), con riferimento alle vulnerabilità BadAlloc scoperte nei mesi scorsi da Microsoft, che potrebbero consentire a un malintenzionato l’esecuzione di codice da remoto.
BadAlloc: una falla in BlackBerry QNX
Queste tutte le versioni interessate: QNX SDP (6.5.0SP1, 6.5.0, 6.4.1, 6.4.0), QNX Momentics Development Suite (6.3.2), QNX Momentics (6.3.0SP3, 6.3.0SP2, 6.3.0SP1, 6.3.0, 6.2.1b, 6.2.1, 6.2.1A, 6.2.0), QNX Realtime Platform (6.1.0a, 6.1.0, 6.0.0a, 6.0.0), QNX Cross Development Kit (6.0.0, 6.1.0), QNX Development Kit Self-hosted (6.0.0, 6.1.0), QNX Neutrino RTOS Safe Kernel (1.0), QNX Neutrino RTOS Certified Plus (1.0), QNX Neutrino RTOS for Medical Devices (1.0, 1.1), QNX OS for Automotive Safety (1.0), QNX OS for Safety (1.0, 1.0.1), QNX Neutrino Secure Kernel 6.4.0, 6.5.0), QNX CAR Development Platform (2.0RR).
CISA incoraggia fortemente le organizzazioni di infrastrutture critiche e tutte le altre impegnate nello sviluppo, nella manutenzione, nel supporto o nell’utilizzo di sistemi basati su QNX ad applicare le patch ai prodotti vulnerabili, nel minor tempo possibile.
Di recente, BlackBerry ha reso noto che la piattaforma QNX è impiegata da circa 200 milioni di automobili in giro per il mondo, prodotte da realtà come Aptiv, BMW, Bosch, Ford, GM, Honda, Mercedes-Benz, Toyota e Volkswagen. È inoltre presente nell’ambito IoT, nell’industria e come scritto in apertura in alcune apparecchiature mediche. Si trova anche a bordo della Stazione Spaziale Internazionale.
Fortunatamente, al momento non si segnalano violazioni perpetrate sfruttando la vulnerabilità, ma ogni dispositivo connesso a Internet e basato su una versione fallata del software è potenzialmente esposto. Stando a quanto riportato da POLITICO, la società avrebbe fatto di tutto per non diffondere informazioni relative al problema, tenendo le parti interessate all’oscuro per diversi mesi.