블랙베리 QNX의 BadAlloc(CVE-2021-22156) 취약점 주의!

 

 

이전 버전의 BlackBerry QNX RTOS(실시간 운영 체제)에 영향을 미치는 주요 취약점으로 인해 악의적인 공격자가 자동차, 의료 및 산업 장비를 포함한 다양한 제품을 불구로 만들고 제어할 수 있는 것으로 나타났습니다.

 

블랙베리의 QNX 기술은 전 세계적으로 항공 우주, 방위, 자동차, 의료, 로봇 공학 등 광범위한 산업 분야에서 195만 대 이상의 차량과 임베디드 시스템에 사용되고 있습니다.

원격 공격자는 취약점 CVE-2021-22156을 악용하여 서비스 거부 상태를 유발하거나 영향을 받는 장치에서 임의의 코드를 실행할 수 있습니다.

CVSS 점수 9.0점을 받은 CVE-2021-22156는 2021년 4월 Microsoft에서 처음 공개한 BadAlloc이라는 광범위한 취약점 모음 중 하나입니다.

블랙베리는 완화책으로 RTOS를 사용하는 애플리케이션에서 사용하는 포트와 프로토콜만 액세스할 수 있는지 확인하고 나머지는 모두 차단할 것을 제안했습니다.

 

취약점 번호

CVE-2021-22156

영향받는 버전

 

QNX 소프트웨어 개발 플랫폼(SDP) 버전 6.5.0 SP1 이하
의료용 QNX OS 1.1 및 이전 버전
QNX OS for Safety 1.0 및 1.0.1.

 

 

패치 방법

 

QNX SDP 6.5.0 SP1 - 패치 ID 4844를 적용하거나 QNX SDP 6.6.0 이상으로 업데이트
QNX OS for Safety 1.0 또는 1.0.1 - QNX OS for Safety 1.0.2로 업데이트 
의료용 QNX OS 1.0 또는 1.1 - 패치 ID 4846을 적용하여 의료용 QNX OS 1.1.1로 업데이트

 

 

 

 

참고:

https://support.blackberry.com/kb/articleDetail?articleNumber=000082334
https://thehackernews.com/2021/08/badalloc-flaw-affects-blackberry-qnx.html