Το κρίσιμο ελάττωμα ασφαλείας στην τεχνολογία αλληλούχισης DNA της Illumina εκθέτει δεδομένα ασθενών
Related Posts
Η κυβέρνηση των ΗΠΑ έκρουσε τον κώδωνα του κινδύνου για μια κρίσιμη ευπάθεια λογισμικού που βρέθηκε στις συσκευές αλληλούχισης DNA του γίγαντα γονιδιωματικής Illumina, τις οποίες οι χάκερ μπορούν να εκμεταλλευτούν για να τροποποιήσουν ή να κλέψουν ευαίσθητα ιατρικά δεδομένα ασθενών.
Σε ξεχωριστές συμβουλές που κυκλοφόρησαν την Πέμπτη,
Αμερικανική υπηρεσία κυβερνοασφάλειας CISA
και το
Αμερικανική Υπηρεσία Τροφίμων και Φαρμάκων
προειδοποίησε ότι το ελάττωμα ασφαλείας – που παρακολουθείται ως CVE-2023-1968 με μέγιστη βαθμολογία σοβαρότητας ευπάθειας 10 στα 10 – επιτρέπει στους χάκερ να έχουν απομακρυσμένη πρόσβαση σε μια επηρεαζόμενη συσκευή μέσω του Διαδικτύου χωρίς να χρειάζονται κωδικό πρόσβασης. Εάν αξιοποιηθεί, το σφάλμα θα μπορούσε να επιτρέψει στους χάκερ να θέσουν σε κίνδυνο συσκευές για να παράγουν λανθασμένα ή τροποποιημένα αποτελέσματα ή καθόλου.
Οι προειδοποιήσεις προειδοποιούν επίσης για μια δεύτερη ευπάθεια, που παρακολουθείται ως CVE-2023-1966 με χαμηλότερη βαθμολογία σοβαρότητας 7,4 στα 10. Το σφάλμα θα μπορούσε να επιτρέψει στους επιτιθέμενους να ανεβάσουν και να εκτελέσουν κακόβουλο κώδικα εξ αποστάσεως σε επίπεδο λειτουργικού συστήματος, επιτρέποντάς τους να αλλάξουν τις ρυθμίσεις και να αποκτήσουν πρόσβαση σε ευαίσθητα δεδομένα στο προϊόν που επηρεάζεται.
Οι ευπάθειες επηρεάζουν τα προϊόντα iScan, iSeq, MiniSeq, MiSeq, MiSeq, MiSeqDx, NextSeq και NovaSeq της Illumina. Αυτά τα προϊόντα, που χρησιμοποιούνται παγκοσμίως στον τομέα της υγειονομικής περίθαλψης, έχουν σχεδιαστεί για κλινική διαγνωστική χρήση στην αλληλούχιση του DNA ενός ατόμου για διάφορες γενετικές παθήσεις ή ερευνητικούς σκοπούς.
Ο εκπρόσωπος της Illumina, David McAlpine, δήλωσε στο TechCrunch ότι η Illumina «δεν έχει λάβει αναφορές που να δείχνουν ότι έχει γίνει εκμετάλλευση μιας ευπάθειας, ούτε έχουμε στοιχεία για τυχόν ευπάθειες που αξιοποιούνται». Ο McAlpine αρνήθηκε να πει εάν η Illumina έχει τα τεχνικά μέσα για να ανιχνεύσει την εκμετάλλευση ή να πει πόσες συσκευές είναι ευάλωτες στα ελαττώματα.
Διευθύνων Σύμβουλος της Illumina, Francis deSouza
είπε
τον Ιανουάριο ότι η εγκατεστημένη βάση του ήταν περισσότεροι από 22.000 sequencers.
Μέσα
μια ανάρτηση στο LinkedIn
, ο CTO της Illumina, Alex Aravanis, δήλωσε ότι η εταιρεία ανακάλυψε την ευπάθεια ως μέρος των προσπαθειών ρουτίνας για την αξιολόγηση του λογισμικού της για πιθανές ευπάθειες και εκθέσεις.
“Μετά τον εντοπισμό αυτής της ευπάθειας, η ομάδα μας εργάστηκε επιμελώς για να αναπτύξει μετριασμούς για την προστασία των οργάνων και των πελατών μας”, δήλωσε ο Aravanis. “Στη συνέχεια επικοινωνήσαμε και συνεργαστήκαμε στενά με τις ρυθμιστικές αρχές και τους πελάτες για να αντιμετωπίσουμε το ζήτημα με μια απλή ενημέρωση λογισμικού χωρίς κόστος, απαιτώντας ελάχιστο έως καθόλου χρόνο διακοπής λειτουργίας για τους περισσότερους”.
Τα νέα για την ευπάθεια του Illumina έρχονται μετά το FDA
τον περασμένο μήνα
ανακοίνωσε ότι θα απαιτήσει από τους κατασκευαστές ιατρικών συσκευών να πληρούν συγκεκριμένες απαιτήσεις ασφάλειας στον κυβερνοχώρο κατά την υποβολή αίτησης για νέο προϊόν. Οι κατασκευαστές συσκευών θα πρέπει να υποβάλουν ένα σχέδιο που να εξηγεί πώς σκοπεύουν να παρακολουθούν και να αντιμετωπίζουν τα τρωτά σημεία και να περιλαμβάνουν έναν κατάλογο λογισμικού υλικών που περιγράφει λεπτομερώς κάθε στοιχείο σε μια συσκευή.
