Kriittinen haavoittuvuus sulautettujen järjestelmien käyttöjärjestelmässä

Haavoittuvuudet voivat vaikuttaa kuluttajakäyttöön ja lääketieteelliseen käyttöön suunnatuista IoT-laitteista ja autoista aina teollisuusautomaatiojärjestelmiin saakka. Kuluttajalta ei kuitenkaan vaadita mitään toimenpiteitä tämän haavoittuvuuden suhteen, vaan päivittäminen tapahtuu laitevalmistajatasolla.

Useiden reaaliaikakäyttöjärjestelmien (RTOS), ohjelmistokehitykseen käytettävien työkalupakettien (SDK) sekä C-ohjelmointikielen kirjastojen (libc) muistinkäyttöön liittyvistä funktioista on löytynyt kriittisiä haavoittuvuuksia. Mikäli QNX-käyttöjärjestelmällä on verkkorajapinta, voi haavoittuvuudelle löytyä hyödyntämismekanismi. Laitteessa voi olla myös käytössä kontrolleja, jotka lieventävät haavoittuvuuden kriittisyyttä - vaikutus on toteutuskohtainen. Kyberturvallisuuskeskuksella ei ole toistaiseksi konkreettista tietoa yhdestäkään haavoittuvasta laitteesta tai haavoittuvuuden hyväksikäytöstä Suomessa tai maailmalla.

Kyseessä on jo aiemmin löydetty BadAlloc-haavoittuvuuskokonaisuus (Ulkoinen linkki) (ulkoinen linkki). Haavoittuvuuden avulla on mahdollista suorittaa etänä komentoja verkossa oleviin laitteisiin. On myös mahdollista aiheuttaa palvelunestotila jollekin tärkeälle komponentille järjestelmässä. Potentiaalisia vaikutusalueita haavoittuvuudelle ovat esimerkiksi terveys, liikenne -ja energiasektori. 

Haavoittuvuuden vaikutukset ovat tuotekohtaisia, tyypillisin vaikutus on se, että sopivan haitallista syötettä lähettämällä laitteen toiminta voi estyä eli voi syntyä palvelunestotila ja siten laite ei kykene valvomaan tai ohjaamaan vastuullaan olevaa prosessia.

QNX ei ole ainoa käyttöjärjestelmä, jossa tämä ongelma on olemassa, vaan BadAlloc-haavoittuvuus vaikuttaa monissa muissakin reaaliaikakäyttöjärjestelmissä.