ABD hükümeti, bilgisayar korsanlarının hastaların hassas tıbbi verilerini değiştirmek veya çalmak için yararlanabilecekleri genomik devi Illumina’nın DNA dizileme cihazlarında bulunan kritik bir yazılım güvenlik açığı hakkında alarm verdi.
Perşembe günü yayınlanan ayrı tavsiyelerde, ABD siber güvenlik ajansı CISA ve ABD Gıda ve İlaç İdaresi 10 üzerinden 10 maksimum güvenlik açığı önem derecesi ile CVE-2023-1968 olarak izlenen güvenlik kusurunun, bilgisayar korsanlarının etkilenen bir cihaza parola gerekmeden internet üzerinden uzaktan erişmesine izin verdiği konusunda uyardı. Hata kötüye kullanılırsa, bilgisayar korsanlarının cihazları tehlikeye atarak yanlış veya değiştirilmiş sonuçlar üretmesine veya hiç sonuç vermemesine izin verebilir.
Öneriler ayrıca, 10 üzerinden 7,4’lük daha düşük bir önem derecesine sahip CVE-2023-1966 olarak izlenen ikinci bir güvenlik açığı konusunda da uyarıda bulunuyor. Hata, saldırganların uzaktan kötü amaçlı kod yükleyip işletim sistemi düzeyinde çalıştırmasına olanak tanıyarak ayarları değiştirmelerine olanak verebilir. ve etkilenen ürünle ilgili hassas verilere erişin.
Güvenlik açıkları Illumina’nın iScan, iSeq, MiniSeq, MiSeq, MiSeqDx, NextSeq ve NovaSeq ürünlerini etkiliyor. Sağlık sektöründe dünya çapında kullanılan bu ürünler, bir kişinin DNA’sının çeşitli genetik durumlar veya araştırma amaçları için dizilenmesinde klinik teşhis amaçlı kullanım için tasarlanmıştır.
Illumina sözcüsü David McAlpine, TechCrunch’a Illumina’nın “bir güvenlik açığından yararlanıldığına dair herhangi bir rapor almadığını ve herhangi bir güvenlik açığından yararlanıldığına dair herhangi bir kanıtımız olmadığını” söyledi. McAlpine, Illumina’nın istismarı tespit edecek teknik araçlara sahip olup olmadığını veya kaç cihazın kusurlara karşı savunmasız olduğunu söylemeyi reddetti.
Illumina CEO’su Francis deSouza söz konusu Ocak ayında kurulu tabanı 22.000’den fazla sıralayıcıydı.
İçinde bir LinkedIn gönderisiIllumina CTO’su Alex Aravanis, şirketin güvenlik açığını, yazılımını potansiyel güvenlik açıkları ve riskler açısından değerlendirmeye yönelik rutin çabalarının bir parçası olarak keşfettiğini söyledi.
Aravanis, “Bu güvenlik açığını belirledikten sonra ekibimiz, araçlarımızı ve müşterilerimizi korumak için hafifletme önlemleri geliştirmek için özenle çalıştı.” dedi. “Ardından, çoğu için çok az kesinti gerektiren veya hiç kesinti gerektirmeyen basit bir yazılım güncellemesiyle hiçbir ücret ödemeden sorunu çözmek için düzenleyiciler ve müşterilerle yakın bir ortaklık içinde çalıştık ve onlarla temasa geçtik.”
Illumina güvenlik açığı haberi FDA’dan sonra geldi geçen ay tıbbi cihaz üreticilerinin yeni bir ürün için başvuruda bulunurken belirli siber güvenlik gereksinimlerini karşılamasını gerektireceğini duyurdu. Cihaz üreticilerinin, güvenlik açıklarını nasıl takip etmeyi ve ele almayı planladıklarını açıklayan bir plan sunmaları ve bir cihazdaki her bileşeni detaylandıran bir yazılım malzeme listesi eklemeleri gerekecek.