Vulnerabilidad crítica en QNX de BlackBerry compromete seguridad en más de 200 millones de coches

Un fallo crítico llamado "BadAlloc" en QNX RTOS de BlackBerry pone en peligro a más de 200 millones de coches y equipamiento en hospitales, La vulnerabilidad registrada como CVE-2021-22156 tiene una puntuación de gravedad CVSS 9 sobre 10. La actitud de BlackBerry, que ha escondido el problema y hasta hace poco no ha hecho la llamada "revelación responsable" de información de seguridad y vulnerabilidades. BlackBerry anunció en junio cómo QNX RTOS está embebido en 195 millones de vehículos de fabricantes como BMW, Ford, Honda, Mercedes-Benz, Toyota o Volkswagen, pero su alcance es aún mayor y hay otros segmentos en los que este sistema operativo es también fundamental.

•  La empresa licencia QNX a OEMs, que luego integran ese sistema operativo en dispositivos para sus clientes
• En BlackBerry le dijeron al gobierno que no sabían dónde acababa su software, y que no tenían intención de hacer un anuncio público: la idea era avisar en privado a los clientes potencialmente afectados

BlackBerry ha licenciado QNX a múltiples fabricantes de dispositivos que necesitaban un sistema operativo en tiempo real (RTOS) para sectores de lo más diversos, desde motor hasta medicina, siempre para casos en los que una fracción de segundo puede marcar la diferencia. 

La vulnerabilidad, identificada como CVE-2021-22156 puede ser explotada remotamente y puede llevar a la ejecución de código arbitrario y a forzar la denegación de servicio del sistema afectado. Un conjunto de riesgos más que suficiente como para que BlackBerry hubiera informado inmediatamente sobre ello, se hubiera puesto manos a la obra para solucionarlo, y en este momento los parches para los dispositivos afectados ya estuvieran en camino.

El problema afecta a versiones de QNX RTOS de 2012 y anteriores y por lo tanto las versiones modernas del sistema operativo, que como indica el sitio web oficial tienen un amplio alcance en el mundo de la automoción, están a salvo.

El pasado mes de abril Microsoft avisó de la presencia de una vulnerabilidad llamada BadAlloc que afectaba a diversas versiones de sus sistemas operativos. El problema era grave, pero en Microsoft trabajaron junto al CISA (Cybersecurity and Infrastructure Security Agency) en EE.UU. para resolverlo y alertar a las agencias y organismos de que actualizaran sus sistemas cuando se publicó el parche poco después.

¿Qué haríais si descubrís una vulnerabilidad en un software que es parte fundamental de millones de coches (o motos) y dispositivos santiario? En BlackBerry no dijeron nada: sabían que su sistema operativo en tiempo real, QNX, podía estar afectado, pero prefirieron negar cualquier problema.

Finalmente BlackBerry hizo ese anuncio público ayer (ahora parece haber desaparecido, pero es posible recuperarlo vía Internet Archive) y a su vez CISA también publicaba una alerta que precisamente estaba centrada en cómo BadAlloc afectaba a QNX RTOS.

El silencio de BlackBerry

La vulnerabilidad, identificada como CVE-2021-22156 puede ser explotada remotamente y puede llevar a la ejecución de código arbitrario y a forzar la denegación de servicio del sistema afectado. Un conjunto de riesgos más que suficiente como para que BlackBerry hubiera informado inmediatamente sobre ello, se hubiera puesto manos a la obra para solucionarlo, y en este momento los parches para los dispositivos afectados ya estuvieran en camino.

Pero no, BlackBerry optó por silenciarlo y, lo que es peor aún, tras publicar en su web una alerta sobre la vulnerabilidad, posteriormente han elegido borrarla, pese a que sigue estando enlazada desde múltiples webs, incluida al de la CISA, que informan sobre la incidencia.

• https://us-cert.cisa.gov/ncas/alerts/aa21-229a

Een CISA aseguran que el software se usa en un amplio catálogo de productos y de verse comprometidos, eso podría representar "un riesgo creciente para funciones críticas de la nación

Una actitud así me hace pensar que BlackBerry es una empresa poco o nada confiable, que no respeta las prácticas establecidas en la comunidad de la ciberseguridad desde hace mucho tiempo, y que prefiere comprometer la seguridad de los productos de sus clientes a reconocer un problema. Y no lo entiendo, porque las vulnerabilidades son algo normal, algo común y extendido, y que no tiene por qué ensuciar la imagen de una marca. Lo importante no es el problema, sino la respuesta.

Fuentes:

https://www.xataka.com/seguridad/fallo-critico-qnx-pone-peligro-a-200-millones-coches-a-equipamiento-hospitales-blackberry-escurrio-bulto

https://www.muyseguridad.net/2021/08/19/que-esta-pasando-con-qnx/