Un fallo crítico llamado «BadAlloc» en QNX RTOS de BlackBerry pone en peligro a más de 200 millones de coches y equipamiento en hospitales, La vulnerabilidad registrada como CVE-2021-22156 tiene una puntuación de gravedad CVSS 9 sobre 10. La actitud de BlackBerry, que ha escondido el problema y hasta hace poco no ha hecho la llamada «revelación responsable» de información de seguridad y vulnerabilidades. BlackBerry anunció en junio cómo QNX RTOS está embebido en 195 millones de vehículos de fabricantes como BMW, Ford, Honda, Mercedes-Benz, Toyota o Volkswagen, pero su alcance es aún mayor y hay otros segmentos en los que este sistema operativo es también fundamental.
- La empresa licencia QNX a OEMs, que luego integran ese sistema operativo en dispositivos para sus clientes
- En BlackBerry le dijeron al gobierno que no sabían dónde acababa su software, y que no tenían intención de hacer un anuncio público: la idea era avisar en privado a los clientes potencialmente afectados
BlackBerry ha licenciado QNX a múltiples fabricantes de dispositivos que necesitaban un sistema operativo en tiempo real (RTOS) para sectores de lo más diversos, desde motor hasta medicina, siempre para casos en los que una fracción de segundo puede marcar la diferencia.
La vulnerabilidad, identificada como CVE-2021-22156 puede ser explotada remotamente y puede llevar a la ejecución de código arbitrario y a forzar la denegación de servicio del sistema afectado. Un conjunto de riesgos más que suficiente como para que BlackBerry hubiera informado inmediatamente sobre ello, se hubiera puesto manos a la obra para solucionarlo, y en este momento los parches para los dispositivos afectados ya estuvieran en camino.
¿Qué haríais si descubrís una vulnerabilidad en un software que es parte fundamental de millones de coches (o motos) y dispositivos santiario? En BlackBerry no dijeron nada: sabían que su sistema operativo en tiempo real, QNX, podía estar afectado, pero prefirieron negar cualquier problema.
El silencio de BlackBerry
La vulnerabilidad, identificada como CVE-2021-22156 puede ser explotada remotamente y puede llevar a la ejecución de código arbitrario y a forzar la denegación de servicio del sistema afectado. Un conjunto de riesgos más que suficiente como para que BlackBerry hubiera informado inmediatamente sobre ello, se hubiera puesto manos a la obra para solucionarlo, y en este momento los parches para los dispositivos afectados ya estuvieran en camino.
Pero no, BlackBerry optó por silenciarlo y, lo que es peor aún, tras publicar en su web una alerta sobre la vulnerabilidad, posteriormente han elegido borrarla, pese a que sigue estando enlazada desde múltiples webs, incluida al de la CISA, que informan sobre la incidencia.
Una actitud así me hace pensar que BlackBerry es una empresa poco o nada confiable, que no respeta las prácticas establecidas en la comunidad de la ciberseguridad desde hace mucho tiempo, y que prefiere comprometer la seguridad de los productos de sus clientes a reconocer un problema. Y no lo entiendo, porque las vulnerabilidades son algo normal, algo común y extendido, y que no tiene por qué ensuciar la imagen de una marca. Lo importante no es el problema, sino la respuesta.
Fuentes:
Fuente obtenida de: https://blog.elhacker.net/2021/08/vulnerabilidad-critica-en-qnx-de-BlackBerry-compromete-seguridad-millones-coches.html
