拖延數(shù)月,,黑莓終于修復(fù)了QNX操作系統(tǒng)的BadAlloc安全漏洞,。盡管企業(yè)通常不愿公開披露軟件漏洞,但若沒有外界的壓力,,終端軟硬件客戶很可能要等待很久,,才能拿到官方的修復(fù)補(bǔ)丁。以黑莓為例,,在美國(guó)國(guó)土安全部介入數(shù)月之后,,該公司終于在本周二正式披露了位于其 QNX 操作系統(tǒng)中的一個(gè) BadAlloc 安全漏洞。
幾個(gè)月來(lái),,黑莓操作系統(tǒng)的BadAlloc安全漏洞一直存在漏洞,,該漏洞使 2 億輛汽車以及醫(yī)院和工廠的系統(tǒng)處于危險(xiǎn)之中。
“這確實(shí)引發(fā)了一場(chǎng)新的辯論,。在任何情況下,,將如此廣泛的漏洞保密是有益的嗎?” NTT 應(yīng)用安全戰(zhàn)略副總裁 Setu Kulkarni 說,?!爱吘梗c物理對(duì)抗性威脅不同,,網(wǎng)絡(luò)威脅無(wú)法被邊界或條約看到或遏制,。在這種情況下,越早披露,,就能越早推出預(yù)防措施,。”
BadAlloc 漏洞于去年 4 月由微軟研究人員首次發(fā)現(xiàn),,他們?cè)诙嗉夜镜牟僮飨到y(tǒng)和軟件中發(fā)現(xiàn)了該漏洞,。一個(gè)月后,網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 的公告警告必須修補(bǔ)該漏洞,。但黑莓直到周二才發(fā)現(xiàn)其 QNX 操作系統(tǒng)存在漏洞,,且并沒有采取行動(dòng)或公開警告組織,。
BlackBerry QNX 軟件開發(fā)平臺(tái) (SDP) 6.5.0SP1 及更早版本、QNX OS for Medical 1.1 及更早版本和 QNX OS for Safety 1.0.1受影響版本中運(yùn)行時(shí)庫(kù)的calloc()函數(shù)中的整數(shù)溢出漏洞,。黑莓表示,,早些時(shí)候“可能允許成功的攻擊者執(zhí)行拒絕服務(wù)或執(zhí)行任意代碼”,并強(qiáng)調(diào)沒有證據(jù)表明該漏洞已被利用,。
黑莓的披露引發(fā)了 CISA 的警告,,該警告指出黑莓 QNX RTOS 存在于廣泛的產(chǎn)品中。該機(jī)構(gòu)表示,,妥協(xié)“可能導(dǎo)致惡意行為者控制高度敏感的系統(tǒng),,增加國(guó)家關(guān)鍵職能的風(fēng)險(xiǎn)?!?/p>
CISA 敦促產(chǎn)品使用易受攻擊版本的制造商聯(lián)系黑莓獲取補(bǔ)丁,。“開發(fā)獨(dú)特版本的 RTOS 軟件的產(chǎn)品制造商應(yīng)該聯(lián)系黑莓以獲取補(bǔ)丁代碼,,”警報(bào)說,。
該公司表示,將 BadAlloc 保密的理由聽起來(lái)很可疑,,但它表示“一旦調(diào)查完成并發(fā)布軟件更新”,,就會(huì)發(fā)布安全公告,但確實(shí)提供了鼓勵(lì)用戶實(shí)施的更新,。
隨著對(duì)供應(yīng)鏈的一次又一次攻擊,,黑莓不愿上市是難以理解的。BreachQuest 的首席信息安全官 AJ King 表示:“這種硬碰硬的方法繼續(xù)卷土重來(lái),?!?“軟件供應(yīng)鏈問題現(xiàn)在是主流,是敲詐勒索軟件和僵尸網(wǎng)絡(luò)的門戶藥物,?!?/p>
King 指出:“與提前采取主動(dòng)措施向消費(fèi)者表明您正在盡一切努力保護(hù)他們的數(shù)據(jù)(在這種情況下,他們的物理安全)安全相比,,被迫披露總是更糟糕,。” 他主張“讓經(jīng)驗(yàn)豐富的安全主管在談判桌前占有一席之地,,并確保他們直接向董事會(huì)負(fù)責(zé),。” 金說,,這是朝著“破壞盡可能長(zhǎng)時(shí)間保持安靜的有毒管理文化”邁出的良好第一步,。
Kulkarni 承認(rèn)黑莓可能已經(jīng)將信息披露視為“在使用 QNX 的設(shè)備上描繪目標(biāo)”,他爭(zhēng)辯說,,假設(shè)“網(wǎng)絡(luò)犯罪分子在這個(gè)時(shí)代等待信息披露是幼稚的”,。
由于拜登總統(tǒng)簽署了關(guān)于緩解供應(yīng)鏈風(fēng)險(xiǎn)的行政命令(EO),,“信息共享的推動(dòng)力增強(qiáng)了——這應(yīng)該是大多數(shù)(如果不是全部)披露的前進(jìn)方法,尤其是當(dāng)沒有全面的信息披露時(shí)Kulkarni 說:”我們可以私下接觸擁有數(shù)億個(gè)系統(tǒng)使用其組件的制造商,?!?/p>
黑莓從私人披露轉(zhuǎn)向公開披露,這表明黑莓確定無(wú)法完全估計(jì)其 QNX 系統(tǒng)的擴(kuò)散程度,,”他說?!按送?,鑒于 BadAlloc 的披露已經(jīng)公開,較早的披露可能會(huì)加快預(yù)防措施,,以防止基于 QNX 的系統(tǒng)上或通過 QNX 系統(tǒng)進(jìn)行漏洞利用,。”
不幸的是,,黑莓沉默的代價(jià)可能是以聲譽(yù)資本為代價(jià)的,。“他們不再只是受此漏洞影響的公司名單上的另一家公司,,他們現(xiàn)在有一個(gè)故事,,專門講述他們有意做出的將影響降至最低的決定,”金說,?!霸诋?dāng)今世界,沒有人期望完美,。事情發(fā)生,。但是,在您的業(yè)務(wù)實(shí)踐中表現(xiàn)出您的誠(chéng)信并保持問責(zé)制將使您與競(jìng)爭(zhēng)對(duì)手區(qū)分開來(lái),。如果我從 BlackBerry 采購(gòu),,我會(huì)問自己,‘他們還隱藏了什么,?’”