ABD biyoteknoloji şirketinden ISEQ 100 DNA sıralayıcısındaki BIOS/UEFI güvenlik açıkları Illumina, saldırganların hastalıkları tespit etmek ve aşılar geliştirmek için kullanılan cihazları devre dışı bırakmasına izin verebilir.
Illumina ISEQ 100, tıbbi ve araştırma laboratuvarlarının “hızlı ve uygun maliyetli genetik analiz” sunmak için kullanabileceği bir DNA sıralama sistemi olarak ilan edilmektedir.
Ürün yazılımı güvenlik şirketi Eclypsium, Illumina’nın cihazındaki BIOS ürün yazılımını analiz etti ve standart yazma korumaları olmadan önyüklendiğini keşfetti ve sistemi uzun süreli kalıcılık için “tuğla edebilecek” veya implantları yerleştirebilecek üzerine yazmaya açık bıraktı.
Araştırmacılar, ISEQ 100'ün eski cihazları desteklemek için uyumluluk destek modunda (CSM) çalışan ve güvenli önyükleme teknolojisi aracılığıyla korunmayan BIOS ürün yazılımının eski bir sürümünü çalıştırdığını buldular.
Eclypsium’un analizi, biri 2017 kadar eski olmak üzere yüksek ve orta şiddet puanlarına sahip dokuz güvenlik açığının sömürülmesine izin veren beş ana konuyu tanımladı.
Eksik BIOS yazma korumalarının yanı sıra, ISEQ 100 cihazı Logofail, Spectre 2 ve Mikro Mimari Veri Örnekleme (MDS) saldırılarına karşı da savunmasızdı.
CSM modunda önyükleme eski cihaz desteğine izin verse de, özellikle daha yeni bir nesil varsa, hassas cihazlar için önerilmez.
Araştırmacılar, ISEQ 100'deki savunmasız BIOS'un (B480am12 - 04/12/12/2018), cihazın önyükleme için kodun değiştirilmesine izin veren ürün yazılımı korumaları etkin olmadığını buldular.
Önyükleme kodunun geçerliliğini ve bütünlüğünü kontrol eden güvenli önyükleme eksikliğiyle birleştiğinde, herhangi bir kötü amaçlı değişiklik tespit edilmez.
Bugün bir raporda Eclypsium, analizlerinin “analizlerinin özellikle ISEQ 100 Sıralama Cihazı ile sınırlı olduğunu” ve benzer sorunların diğer tıbbi veya endüstriyel cihazlarda mevcut olabileceğini vurgulamaktadır.
Araştırmacılar, tıbbi cihaz üreticilerinin dış tedarikçileri sistemin bilgi işlem gücü için kullandıklarını açıklıyor. ISEQ 100 örneğinde, cihaz IEI Integration Corp.
IEI Integration Corp çoklu endüstriyel bilgisayar ürünleri geliştirdiğinden ve tıbbi cihazlar için orijinal bir tasarım üreticisi (ODM) olduğundan, Eclypsium, “Bu veya benzer sorunların IEI anakartlarını kullanan diğer tıbbi veya endüstriyel cihazlarda bulunması büyük olasılıkla olacaktır. . "
Araştırmacılar ayrıca, bir cihazı zaten tehlikeye atan bir saldırganın, ürün yazılımını sistemi tuğla için değiştirmek için güvenlik açıklarından yararlanabileceğini açıklıyor. Gerekli bilgiye sahip bir tehdit oyuncusu da test sonuçlarını kurcalayabilir.
“Veriler bu cihazlardaki bir implant/arka kapı tarafından manipüle edilirse, bir tehdit oyuncusu, kalıtsal koşulların varlığını veya yokluğunu, tıbbi tedavileri veya aşıları manipüle etme, soyut DNA araştırması vb. - Eclypsiyum
Eclypsium, Ilumina'ya ISEQ 100 cihazlarındaki BIOS sorunları ve biyoteknoloji şirketi bildirdi. Onlara etkilenen müşterilere bir yama yayınladığını bildirdi.
BleepingComputer, onu alması gereken ISEQ 100 sistemlerinin sayısının düzeltilmesi ve tahmini hakkında bir yorum için Illumina'ya ulaştı.
Şirket sözcüsü, Illumina'nın “standart süreçlerini takip ettiğini ve herhangi bir etki azaltılması gerekiyorsa etkilenen müşterileri bilgilendireceğini” söyledi.
Bir Illumina temsilcisi BleepingComputer'a verdiği demeçte, “İlk değerlendirmemiz bu sorunların yüksek riskli olmadığını gösteriyor” dedi.
“Illumina, ürünlerimizin güvenliğine ve genomik verilerin gizliliğine bağlıdır ve ürünlerimizin geliştirilmesi ve konuşlandırılması için en iyi güvenlik uygulamaları da dahil olmak üzere gözetim ve hesap verebilirlik süreçleri oluşturduk.
“Bu taahhüdün bir parçası olarak, her zaman alandaki enstrümanlar için güvenlik güncellemelerini nasıl sunduğumuzu geliştirmek için çalışıyoruz” diyor ifadenin geri kalanını.
Raporlarında Eclypsium’un araştırmacıları, ISEQ 100'deki ürün yazılımının üzerine yazabilecek bir tehdit aktörünün “cihazı kolayca devre dışı bırakabileceği” konusunda uyarıyor.
Yüksek değerli sistemler çıkararak işi bozmak, fidye yazılımı aktörlerinin tam olarak peşinde olduğu, çünkü hedefleri kurbanı kurtarma çabalarını mümkün olduğunca zorlaştırarak fidye ödemeyi belirlemektir.
Finansal olarak motive edilen saldırganların yanı sıra Eclypsium, devlet aktörlerinin DNA sekanslama sistemlerini çekici bulabileceğini, çünkü “genetik hastalıkları, kanserleri tespit etmek, ilaca dirençli bakterileri tanımlamak ve aşıların üretimi” için kritik olduklarını söylüyor.
2023 yılında, ABD'deki Siber Güvenlik Altyapısı Güvenlik Ajansı (CISA) ve Gıda ve İlaç İdaresi (FDA), Illumina'nın evrensel kopya hizmetinde (UCS) tıbbi tesisler ve laboratuvarlar tarafından kullanılan iki ürünlerde bulunan iki güvenlik açığı hakkında acil bir danışma yayınladı. dünya çapında.
Sorunlardan biri (CVE-2023-1968) maksimum şiddet skorunu alırken, diğeri (CVE-2023-1966) yüksek şiddet derecesine sahipti. Illumina, güvenlik sorunlarının nasıl hafifletileceği konusunda güncellemeler ve talimatlar sağlayarak tepki gösterdi.
Openwrt Sysupgrade Kalıp, bilgisayar korsanlarının kötü amaçlı ürün yazılımı resimlerini itmesine izin ver
Bootkitty UEFI kötü amaçlı yazılım, linux sistemlerini enfekte etmek için logofailden yararlanır
Araştırmacılar Linux için ilk UEFI Bootkit kötü amaçlı yazılımlarını keşfeder
QNAP, yaygın NAS sorunlarına neden olan Buggy QTS ürün yazılımını çeker
Kaynak: Bleeping Computer