Ngày 29 tháng 4 năm 2023Ravie LakshmananChăm sóc sức khỏe / An ninh mạng
Cơ quan an ninh cơ sở hạ tầng và an ninh mạng Hoa Kỳ (CISA) đã đưa ra cảnh báo tư vấn y tế về Hệ thống kiểm soát công nghiệp (ICS) về một lỗ hổng nghiêm trọng ảnh hưởng đến các thiết bị y tế của Illumina.
Các sự cố ảnh hưởng đến phần mềm Universal Copy Service (UCS) trong các công cụ giải trình tự DNA Illumina MiSeqDx, NextSeq 550Dx, iScan, iSeq 100, MiniSeq, MiSeq, NextSeq 500, NextSeq 550, NextSeq 1000/2000 và NovaSeq 6000.
Lỗ hổng nghiêm trọng nhất, CVE-2023-1968 (điểm CVSS: 10,0), cho phép kẻ tấn công từ xa liên kết với các địa chỉ IP bị lộ, do đó có thể nghe trộm lưu lượng mạng và truyền các lệnh tùy ý từ xa.
Vấn đề thứ hai liên quan đến một trường hợp cấu hình sai đặc quyền (CVE-2023-1966, điểm CVSS: 7,4) có thể cho phép một tác nhân độc hại không được xác thực từ xa tải lên và thực thi mã với các quyền được nâng cao.
CISA cho biết: “Việc khai thác thành công các lỗ hổng này có thể cho phép kẻ tấn công thực hiện bất kỳ hành động nào ở cấp hệ điều hành. “Tác nhân đe dọa có thể tác động đến cài đặt, cấu hình, phần mềm hoặc dữ liệu trên sản phẩm bị ảnh hưởng; tác nhân đe dọa có thể tương tác thông qua sản phẩm bị ảnh hưởng thông qua mạng được kết nối.”
Cơ quan Quản lý Thực phẩm và Dược phẩm (FDA) cho biết người dùng trái phép có thể vũ khí hóa sự thiếu sót để tác động đến “dữ liệu bộ gen dẫn đến các công cụ dành cho chẩn đoán lâm sàng, bao gồm cả việc khiến các công cụ không cung cấp kết quả, kết quả không chính xác, kết quả bị thay đổi hoặc vi phạm dữ liệu tiềm ẩn. .”
Không có bằng chứng cho thấy hai lỗ hổng đã được khai thác trong tự nhiên. Người dùng nên áp dụng các bản sửa lỗi được phát hành vào ngày 5 tháng 4 năm 2023 để giảm thiểu các mối đe dọa tiềm ẩn.
Đây không phải là lần đầu tiên các lỗ hổng nghiêm trọng được đưa ra ánh sáng trong Thiết bị giải trình tự DNA của Illumina. Vào tháng 6 năm 2022, công ty đã tiết lộ nhiều lỗ hổng tương tự có thể đã bị lạm dụng để giành quyền kiểm soát các hệ thống bị ảnh hưởng.
Tiết lộ này được đưa ra gần một tháng sau khi FDA ban hành hướng dẫn mới yêu cầu các nhà sản xuất thiết bị y tế tuân thủ một loạt các yêu cầu về an ninh mạng khi gửi đơn đăng ký cho một sản phẩm mới.
Điều này bao gồm kế hoạch theo dõi, xác định và giải quyết các lỗ hổng và khai thác an ninh mạng “sau khi đưa ra thị trường” trong một khoảng thời gian hợp lý, đồng thời thiết kế và duy trì các quy trình để đảm bảo tính bảo mật của các thiết bị đó thông qua các bản vá thường xuyên và ngoài băng tần.
