ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Illumina tıbbi cihazlarını etkileyen kritik bir kusura ilişkin bir Endüstriyel Kontrol Sistemleri (ICS) tıbbi tavsiye uyarısı yayınladı.
Sorunlar, Illumina MiSeqDx, NextSeq 550Dx, iScan, iSeq 100, MiniSeq, MiSeq, NextSeq 500, NextSeq 550, NextSeq 1000/2000 ve NovaSeq 6000 DNA dizileme cihazlarındaki Evrensel Kopyalama Hizmeti (UCS) yazılımını etkiler.
Açıkların en ciddisi olan CVE-2023-1968 (CVSS puanı: 10.0), uzaktaki saldırganların açıktaki IP adreslerine bağlanmasına izin vererek ağ trafiğini gizlice dinlemeyi ve uzaktan rasgele komutlar iletmeyi mümkün kılar.
İkinci sorun, kimliği doğrulanmamış uzak bir kötü niyetli aktörün yükseltilmiş izinlerle kod yüklemesine ve yürütmesine olanak verebilecek bir ayrıcalık yanlış yapılandırması (CVE-2023-1966, CVSS puanı: 7.4) ile ilgilidir.
CISA, “Bu güvenlik açıklarından başarıyla yararlanılması, bir saldırganın işletim sistemi düzeyinde herhangi bir eylemde bulunmasına izin verebilir.” söz konusu. “Bir tehdit aktörü, etkilenen üründeki ayarları, yapılandırmaları, yazılımları veya verileri etkileyebilir; bir tehdit aktörü, bağlı bir ağ aracılığıyla etkilenen ürün aracılığıyla etkileşim kurabilir.”
Gıda ve İlaç İdaresi (FDA) söz konusu yetkisiz bir kullanıcı, “aletlerin sonuç vermemesine, yanlış sonuçlara, değiştirilmiş sonuçlara veya potansiyel bir veri ihlaline neden olmak dahil olmak üzere, klinik teşhis amaçlı araçlardaki genomik veri sonuçlarını” etkilemek için eksikliği silah haline getirebilir.
İki güvenlik açığının vahşi ortamda istismar edildiğine dair bir kanıt yok. Kullanıcıların tavsiye ettiği düzeltmeleri uygula potansiyel tehditleri azaltmak için 5 Nisan 2023’te yayınlandı.
Gerçek Zamanlı Koruma ile Fidye Yazılımını Durdurmayı Öğrenin
Web seminerimize katılın ve gerçek zamanlı MFA ve hizmet hesabı koruması ile fidye yazılımı saldırılarını nasıl durduracağınızı öğrenin.
Bu, Illumina’nın DNA Sıralama Cihazlarındaki ciddi kusurların ilk kez ortaya çıkışı değil. Haziran 2022’de şirket, etkilenen sistemlerin kontrolünü ele geçirmek için kötüye kullanılmış olabilecek çok sayıda benzer güvenlik açığını açıkladı.
Açıklama, FDA’dan neredeyse bir ay sonra geliyor Veriliş tıbbi cihaz üreticilerinin yeni bir ürün için başvuruda bulunurken bir dizi siber güvenlik gerekliliğine uymasını gerektirecek yeni kılavuz.
Bu, “pazar sonrası” siber güvenlik açıklarını ve açıklarını makul bir süre içinde izlemeye, tanımlamaya ve gidermeye yönelik bir planı ve bu tür cihazların güvenliğini düzenli ve bant dışı yamalar yoluyla sağlamak için süreçler tasarlamayı ve sürdürmeyi içerir.