ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) ve Gıda ve İlaç Dairesi (FDA), Illumina’nın yeni nesil dizilemesindeki kritik güvenlik açıkları hakkında bir tavsiye yayınladı (NGS) yazılım.
Kusurlardan üçü, Ortak Güvenlik Açığı Puanlama Sisteminde önem derecesi açısından 10 üzerinden 10 olarak derecelendirilmiştir (CVSS), diğer ikisi 9.1 ve 7.4 önem derecesine sahip.
Sorunlar, “bir kişinin DNA’sının dizilenmesinde veya çeşitli genetik koşulların test edilmesinde klinik tanı amaçlı kullanım” veya yalnızca araştırma amaçlı kullanım için kullanılan tıbbi cihazlardaki yazılımları etkiler. FDA’ya göre.
CISA, “Bu güvenlik açıklarından başarılı bir şekilde yararlanılması, kimliği doğrulanmamış kötü niyetli bir aktörün, etkilenen ürünün kontrolünü uzaktan ele geçirmesine ve işletim sistemi düzeyinde herhangi bir işlem yapmasına izin verebilir.” söz konusu bir uyarıda.
“Bir saldırgan, etkilenen üründeki ayarları, yapılandırmaları, yazılımları veya verileri etkileyebilir ve etkilenen ürün aracılığıyla bağlı ağ ile etkileşime girebilir.”
Etkilenen cihazlar ve enstrümanlar arasında NextSeq 550Dx, MiSeq Dx, NextSeq 500, NextSeq 550, MiSeq, iSeq 100 ve Local Run Manager (LRM) yazılım sürümleri 1.3 ila 3.1 kullanan MiniSeq bulunur.
Kusurların listesi aşağıdaki gibidir –
- CVE-2022-1517 (CVSS puanı: 10.0) – Bir saldırganın ayarları değiştirmesine ve hassas verilere veya API’lere erişmesine izin verebilecek, işletim sistemi düzeyinde bir uzaktan kod yürütme güvenlik açığı.
- CVE-2022-1518 (CVSS puanı: 10.0) – Bir saldırganın kötü amaçlı dosyaları rastgele konumlara yüklemesine olanak verebilecek bir dizin geçiş güvenlik açığı.
- CVE-2022-1519 (CVSS puanı: 10.0) – Herhangi bir dosya türünün sınırsız yüklenmesiyle ilgili bir sorun ve bir saldırganın rastgele kod yürütmesine izin vermesi.
- CVE-2022-1521 (CVSS puanı: 9.1) – Varsayılan olarak LRM’de kimlik doğrulama eksikliği, bir saldırganın hassas verileri enjekte etmesine, değiştirmesine veya erişmesine olanak tanır.
- CVE-2022-1524 (CVSS puanı: 7.4) – Bir saldırgan tarafından ortadaki adam (MitM) saldırısı düzenlemek ve kimlik bilgilerine erişmek için kötüye kullanılabilecek, LRM 2.4 ve daha düşük sürümleri için TLS şifreleme eksikliği.
Cihazlar üzerinde uzaktan kontrole izin vermenin yanı sıra, kusurlar, hastaların klinik testlerini tehlikeye atmak için silah olarak kullanılabilir ve bu da tanı sırasında yanlış veya değiştirilmiş sonuçlara neden olabilir.
Vahşi doğada kusurların istismar edildiğine dair bir kanıt bulunmamakla birlikte, müşterilerin yazılım yaması Illumina tarafından herhangi bir potansiyel riski azaltmak için geçen ay yayınlandı.
