黑莓承认：因为漏洞疏忽，2 亿汽车恐被攻击

发布时间：2021-08-24 11:46:31来源：E安全

CAUTION

拖延数月，黑莓终于修复了QNX操作系统的BadAlloc安全漏洞。尽管企业通常不愿公开披露软件漏洞，但若没有外界的压力，终端软硬件客户很可能要等待很久，才能拿到官方的修复补丁。以黑莓为例，在美国国土安全部介入数月之后，该公司终于在本周二正式披露了位于其QNX操作系统中的一个BadAlloc安全漏洞。

几个月来，黑莓操作系统的BadAlloc安全漏洞一直存在漏洞，该漏洞使2亿辆汽车以及医院和工厂的系统处于危险之中。

“这确实引发了一场新的辩论。在任何情况下，将如此广泛的漏洞保密是有益的吗？”NTT应用安全战略副总裁SetuKulkarni说。“毕竟，与物理对抗性威胁不同，网络威胁无法被边界或条约看到或遏制。在这种情况下，越早披露，就能越早推出预防措施。”

BadAlloc漏洞于去年4月由微软研究人员首次发现，他们在多家公司的操作系统和软件中发现了该漏洞。一个月后，网络安全和基础设施安全局(CISA)的公告警告必须修补该漏洞。但黑莓直到周二才发现其QNX操作系统存在漏洞，且并没有采取行动或公开警告组织。

BlackBerryQNX软件开发平台(SDP)6.5.0SP1及更早版本、QNXOSforMedical1.1及更早版本和QNXOSforSafety1.0.1受影响版本中运行时库的calloc()函数中的整数溢出漏洞。黑莓表示，早些时候“可能允许成功的攻击者执行拒绝服务或执行任意代码”，并强调没有证据表明该漏洞已被利用。

黑莓的披露引发了CISA的警告，该警告指出黑莓QNXRTOS存在于广泛的产品中。该机构表示，妥协“可能导致恶意行为者控制高度敏感的系统，增加国家关键职能的风险。”

CISA敦促产品使用易受攻击版本的制造商联系黑莓获取补丁。“开发独特版本的RTOS软件的产品制造商应该联系黑莓以获取补丁代码，”警报说。

该公司表示，将BadAlloc保密的理由听起来很可疑，但它表示“一旦调查完成并发布软件更新”，就会发布安全公告，但确实提供了鼓励用户实施的更新。

随着对供应链的一次又一次攻击，黑莓不愿上市是难以理解的。BreachQuest的首席信息安全官AJKing表示：“这种硬碰硬的方法继续卷土重来。”“软件供应链问题现在是主流，是敲诈勒索软件和僵尸网络的门户药物。”

King指出：“与提前采取主动措施向消费者表明您正在尽一切努力保护他们的数据（在这种情况下，他们的物理安全）安全相比，被迫披露总是更糟糕。”他主张“让经验丰富的安全主管在谈判桌前占有一席之地，并确保他们直接向董事会负责。”金说，这是朝着“破坏尽可能长时间保持安静的有毒管理文化”迈出的良好第一步。

Kulkarni承认黑莓可能已经将信息披露视为“在使用QNX的设备上描绘目标”，他争辩说，假设“网络犯罪分子在这个时代等待信息披露是幼稚的”。

由于拜登总统签署了关于缓解供应链风险的行政命令(EO)，“信息共享的推动力增强了——这应该是大多数（如果不是全部）披露的前进方法，尤其是当没有全面的信息披露时Kulkarni说：“我们可以私下接触拥有数亿个系统使用其组件的制造商。”

黑莓从私人披露转向公开披露，这表明黑莓确定无法完全估计其QNX系统的扩散程度，”他说。“此外，鉴于BadAlloc的披露已经公开，较早的披露可能会加快预防措施，以防止基于QNX的系统上或通过QNX系统进行漏洞利用。”

不幸的是，黑莓沉默的代价可能是以声誉资本为代价的。“他们不再只是受此漏洞影响的公司名单上的另一家公司，他们现在有一个故事，专门讲述他们有意做出的将影响降至最低的决定，”金说。“在当今世界，没有人期望完美。事情发生。但是，在您的业务实践中表现出您的诚信并保持问责制将使您与竞争对手区分开来。如果我从BlackBerry采购，我会问自己，'他们还隐藏了什么？'”

推荐阅读：

注：本文由E安全编译报道。