米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は8月17日(現地時間)、組み込み機器向けのリアルタイムOS「BlackBerry QNX」が、BadAllocの名称で知られるメモリ割り当て処理に関する脆弱性の影響を受けるとしてセキュリティアラート「AA21-229A」をリリースした。BadAllocは、複数のリアルタイムOSとサポートライブラリに影響を与える脆弱性であり、デバイスのクラッシュや任意コード実行などといった攻撃に悪用される危険性がある。

AA21-229Aの全文は以下のページで読むことができる。

  • AA21-229A: BadAlloc Vulnerability Affecting BlackBerry QNX RTOS

    AA21-229A: BadAlloc Vulnerability Affecting BlackBerry QNX RTOS

また、BlackBerryからも本件に関する次のセキュリティアドバイザリがリリースされている。

  • QNX-2021-001 Vulnerability in the C Runtime Library Impacts BlackBerry QNX Software Development Platform (SDP)、QNX OS for Medical、and QNX OS for Safety

    QNX-2021-001 Vulnerability in the C Runtime Library Impacts BlackBerry QNX Software Development Platform (SDP), QNX OS for Medical, and QNX OS for Safety

BadAllocは複数のリアルタイムOSとサポートライブラリに影響を与える脆弱性のコレクションで、2021年5月に公開された。セキュリティ研究者は、リアルタイムOSや関連するサポートライブラリを対象として、メモリ割り当て処理の中で適切な検証が行われていない実装を持つ製品を調査し、発見された脆弱性のリストを報告した。この調査によって報告された脆弱性が総称してBadAllocと呼ばれている。

AA21-229Aは、このBadAllocに含まれる脆弱性の一つとして、BlackBerry QNXが影響を受ける脆弱性「CVE-2021-22156」が追加されたことを警告するものだ。CVE-2021-22156は複数のBlackBerryQNX製品のCランタイムライブラリに含まれる整数オーバーフローの脆弱性で、デバイスをサービス拒否状態にされたり、任意のコードが実行されたりするなどの被害を受ける危険性があるという。

BlackBerry QNXは重要なインフラを構成する制御システムや車載機器、医療機器などに幅広く利用されており、CISAでは影響を受ける製品の製造元に対して、できるだけ早くBlackBerryから修正パッチを入手して適用するよう呼びかけている。またエンドユーザーに対しては、製品の製造元からパッチを入手して適用するか、パッチが利用できない場合は製造元が推奨する緩和策を適用することを推奨している。

なお、BrackBerry QNXを含むBadAllocの影響を受ける最新の製品リストは、セキュリティアドバイザリ「ICS Advisory (ICSA-21-119-04): Multiple RTOS (Update C)」で確認することができる。