Не того поля ягода
Уязвимости BlackBerry ведут к рискам для критически важных систем
Канадская BlackBerry опубликовала список версий своей операционной системы (ОС) QNX, на который влияет обнаруженная Microsoft в апреле уязвимость BadAlloc. На этой ОС работают многие критически важные информационные системы России, в том числе в горнодобывающей и нефтеперерабатывающей отраслях. Используя уязвимость, злоумышленники могут получить контроль над системами, предупреждают эксперты.
BlackBerry признала, что набор из 25 уязвимостей BadAlloc, обнаруженный в апреле исследователями Microsoft, влияет на ОС QNX, которая используется по всему миру, следует из информации на официальном сайте компании.
Хакер может использовать уязвимости, чтобы вызвать отказ в обслуживании оборудования или выполнить произвольный код на устройстве, предупредило американское Агентство кибербезопасности и безопасности инфраструктуры (CISA) 17 августа. Компрометация продуктов, работающих на ОС BlackBerry QNX, «может привести к получению злоумышленником контроля над высокочувствительными системами, что увеличивает риск для критически важных функций страны», отмечается в сообщении CISA.
Агентство «настоятельно рекомендует» организациям «как можно быстрее исправлять уязвимые продукты».
QNX позволяет создавать программно-аппаратные комплексы, выполняющие важные оперативные задачи управления, в том числе и в критической информационной инфраструктуре (КИИ), говорит заместитель гендиректора по науке и развитию ИВК Валерий Андреев. QNX служит для построения систем реального времени, отмечает руководитель направлений защиты АСУ ТП и КИИ центра информационной безопасности компании «Инфосистемы Джет» Александр Карпенко. К объектам КИИ относятся госорганы, банки, предприятия оборонной промышленности, объекты транспорта, здравоохранения и др.
«Сложно сказать, какую именно долю QNX занимает на российском рынке, так как компании, использующие ОС, не разглашают это по причинам безопасности»,— отмечает гендиректор Infosecurity a Softline Company Кирилл Солодовников.
Но это популярное решение среди российских компаний в горнодобывающей, нефтеперерабатывающей и обрабатывающей отраслях, утверждает руководитель направления защиты АСУ ТП «Информзащиты» Игорь Рыжов.
У системы BlackBerry есть отечественные аналоги, говорит Игорь Рыжов: «Подобные системы выпускают "СВД Встраиваемые системы" и "Релэкс"». «СВД Встраиваемые системы» более десяти лет разрабатывает закрытую операционную систему реального времени (ЗОСРВ) «Нейтрино», которая исходно была основана на технологиях QNX, но последние четыре версии компания выпустила независимо от BlackBerry, рассказал заместитель гендиректора по научной работе и инновациям компании Сергей Зыль. По словам одного из источников “Ъ”, ЗОСРВ «Нейтрино» применяется, например, на некоторых предприятиях в атомной сфере.
В 2019 году Владимир Путин поручил объектам КИИ перейти на преимущественное использование отечественного софта для обеспечения технологической независимости и безопасности. Минцифры установило сроки перехода: российское ПО нужно внедрить до января 2023 года, а оборудование — до января 2024 года. В соответствии с этим требованиями при наличии отечественного аналога зарубежного решения заказчики должны отдать приоритет ему.
Обнаружение уязвимости в QNX — «серьезное событие», требующее оперативной реакции всего сообщества разработчиков по ее срочному устранению и выпуску обновления, полагает Валерий Андреев.
«QNX обособлена, закрыта и не имеет выходов вовне, поэтому сложно предположить, как можно воспользоваться уязвимостями в ней»,— уточняет Игорь Рыжов. Для операционных систем, обеспечивающих изоляцию адресных процессов, уязвимость BadAlloc не выглядит острой, согласен Сергей Зыль. Но потребителям, считает Александр Карпенко, нужно дождаться обновления от BlackBerry с исправлением и максимально быстро установить его на конечные машины.