Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) và Cục Quản lý Thực phẩm và Dược phẩm (FDA) đã đưa ra lời khuyên về các lỗ hổng bảo mật nghiêm trọng trong phần mềm giải trình tự thế hệ tiếp theo (NGS) của Illumina.
Ba trong số các lỗi được đánh giá 10/10 về mức độ nghiêm trọng trên Hệ thống chấm điểm lỗ hổng phổ biến (CVSS), hai lỗi khác có xếp hạng mức độ nghiêm trọng là 9,1 và 7,4.
Theo FDA.
“Việc khai thác thành công các lỗ hổng này có thể cho phép kẻ độc hại chưa được xác thực kiểm soát từ xa sản phẩm bị ảnh hưởng và thực hiện bất kỳ hành động nào ở cấp hệ điều hành”, CISA cho biết trong một cảnh báo.
“Kẻ tấn công có thể tác động đến cài đặt, cấu hình, phần mềm hoặc dữ liệu trên sản phẩm bị ảnh hưởng và tương tác thông qua sản phẩm bị ảnh hưởng với mạng được kết nối.”
Các thiết bị và công cụ bị ảnh hưởng bao gồm NextSeq 550Dx, MiSeq Dx, NextSeq 500, NextSeq 550, MiSeq, iSeq 100 và MiniSeq sử dụng phần mềm Local Run Manager (LRM) phiên bản 1.3 đến 3.1.
Danh sách các sai sót như sau:
CVE-2022-1517 (Điểm CVSS: 10,0) – Lỗ hổng thực thi mã từ xa ở cấp hệ điều hành có thể cho phép kẻ tấn công giả mạo cài đặt và truy cập dữ liệu hoặc API nhạy cảm.
CVE-2022-1518 (Điểm CVSS: 10.0) – Một lỗ hổng truyền tải thư mục có thể cho phép kẻ tấn công tải các tệp độc hại lên các vị trí tùy ý.
CVE-2022-1519 (Điểm CVSS: 10.0) – Một vấn đề với việc tải lên không hạn chế bất kỳ loại tệp nào, cho phép kẻ tấn công thực hiện mã tùy ý.
CVE-2022-1521 (Điểm CVSS: 9.1) – Thiếu xác thực trong LRM theo mặc định, cho phép kẻ tấn công đưa, sửa đổi hoặc truy cập dữ liệu nhạy cảm.
CVE-2022-1524 (Điểm CVSS: 7.4) – Việc thiếu mã hóa TLS cho LRM phiên bản 2.4 trở xuống có thể bị kẻ tấn công lạm dụng để thực hiện một cuộc tấn công man-in-the-middle (MitM) và truy cập thông tin đăng nhập.
Ngoài việc cho phép điều khiển từ xa các thiết bị, các lỗ hổng có thể được vũ khí hóa để làm ảnh hưởng đến các xét nghiệm lâm sàng của bệnh nhân, dẫn đến kết quả không chính xác hoặc bị thay đổi trong quá trình chẩn đoán.
Mặc dù không có bằng chứng cho thấy các lỗ hổng đang được khai thác một cách tự nhiên, nhưng khách hàng nên áp dụng bản vá phần mềm do Illumina phát hành vào tháng trước để giảm thiểu mọi rủi ro tiềm ẩn.
.
