La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) y la Administración de Alimentos y Medicamentos (FDA) han emitido un aviso sobre las vulnerabilidades de seguridad críticas en la secuenciación de próxima generación de Illumina (SNG) software.
Tres de las fallas tienen una calificación de 10 sobre 10 en cuanto a su gravedad en el Sistema de puntuación de vulnerabilidad común (CVSS), y otros dos tienen calificaciones de gravedad de 9.1 y 7.4.
Los problemas afectan el software en dispositivos médicos utilizados para «uso de diagnóstico clínico en la secuenciación del ADN de una persona o pruebas para diversas afecciones genéticas, o solo para uso en investigación». según la FDA.
«La explotación exitosa de estas vulnerabilidades puede permitir que un actor malintencionado no autenticado tome el control del producto afectado de forma remota y realice cualquier acción a nivel del sistema operativo», CISA dijo en una alerta.
«Un atacante podría afectar la configuración, el software o los datos del producto afectado e interactuar a través del producto afectado con la red conectada».
Los dispositivos e instrumentos afectados incluyen NextSeq 550Dx, MiSeq Dx, NextSeq 500, NextSeq 550, MiSeq, iSeq 100 y MiniSeq con las versiones 1.3 a 3.1 del software Local Run Manager (LRM).
La lista de fallas es la siguiente:
- CVE-2022-1517 (Puntuación CVSS: 10,0): una vulnerabilidad de ejecución remota de código a nivel del sistema operativo que podría permitir que un atacante altere la configuración y acceda a datos confidenciales o API.
- CVE-2022-1518 (Puntuación CVSS: 10,0): una vulnerabilidad de cruce de directorios que podría permitir que un atacante cargue archivos maliciosos en ubicaciones arbitrarias.
- CVE-2022-1519 (Puntuación CVSS: 10.0): un problema con la carga sin restricciones de cualquier tipo de archivo, lo que permite a un atacante lograr la ejecución de código arbitrario.
- CVE-2022-1521 (Puntuación CVSS: 9,1): falta de autenticación en LRM de forma predeterminada, lo que permite a un atacante inyectar, modificar o acceder a datos confidenciales.
- CVE-2022-1524 (Puntuación CVSS: 7,4) – Falta de cifrado TLS para las versiones 2.4 y anteriores de LRM que podría ser objeto de abuso por parte de un atacante para organizar un ataque de intermediario (MitM) y acceder a las credenciales.
Además de permitir el control remoto de los instrumentos, las fallas podrían usarse como armas para comprometer las pruebas clínicas de los pacientes, lo que resultaría en resultados incorrectos o alterados durante el diagnóstico.
Si bien no hay evidencia de que las fallas se estén explotando en la naturaleza, se recomienda que los clientes apliquen el parche de software publicado por Illumina el mes pasado para mitigar cualquier riesgo potencial.