ABD’li biyoteknoloji şirketi Illumina’nın iSeq 100 DNA sıralayıcısındaki BIOS/UEFI açıkları, saldırganların hastalıkları tespit etmek ve aşı geliştirmek için kullanılan cihazları devre dışı bırakmasına olanak tanıyabilir.
Illumina iSeq 100, tıp ve araştırma laboratuvarlarının “hızlı ve uygun maliyetli genetik analiz” sağlamak için kullanabileceği bir DNA dizileme sistemi olarak tanıtılıyor.
Firmware güvenlik şirketi Eclypsium, Illumina’nın cihazındaki BIOS firmware’ini analiz etti ve cihazın standart yazma korumaları olmadan başlatıldığını ve sistemi “tuğlalayabilecek” veya uzun süreli kalıcılık için implantlar yerleştirebilecek üzerine yazmaya açık bıraktığını keşfetti.
Eski ve savunmasız BIOS
Araştırmacılar, iSeq 100’ün, eski cihazları desteklemek için Uyumluluk Destek Modunda (CSM) çalışan ve Güvenli Önyükleme teknolojisi tarafından korunmayan, BIOS donanım yazılımının eski bir sürümünü çalıştırdığını buldu.
Eclypsium’un analizi, biri 2017 kadar eski olan, yüksek ve orta şiddet puanlarına sahip dokuz güvenlik açığından yararlanılmasına izin veren beş ana sorun tespit etti.
iSeq 100 cihazı, eksik BIOS yazma korumalarının yanı sıra LogoFAIL, Spectre 2 ve Mikro Mimari Veri Örnekleme (MDS) saldırılarına karşı da savunmasızdı.
kaynak: Eclypsium
CSM modunda önyükleme eski aygıt desteğine izin verse de, hassas aygıtlar için, özellikle de yeni nesil olmaları durumunda önerilmez.
Araştırmacılar, iSeq 100’deki savunmasız BIOS’un (B480AM12 – 04/12/2018) aygıt yazılımı korumalarının etkin olmadığını, bunun da aygıtın önyükleme kodunu değiştirmeye izin verdiğini buldu.
Önyükleme kodunun geçerliliğini ve bütünlüğünü kontrol eden Güvenli Önyükleme özelliğinin bulunmaması da eklenince, herhangi bir kötü amaçlı değişiklik tespit edilemeyecektir.
Eclypsium bugün yayınladığı raporda, analizlerinin “özellikle iSeq 100 sıralayıcı cihazla sınırlı olduğunu” ve benzer sorunların diğer tıbbi veya endüstriyel cihazlarda da mevcut olabileceğinin altını çiziyor.
Araştırmacılar, tıbbi cihaz üreticilerinin sistemin bilgi işlem gücü için dış tedarikçileri kullandığını açıklıyor. iSeq 100 durumunda cihaz, IEI Integration Corp.’un OEM anakartına dayanır.
IEI Integration Corp birden fazla endüstriyel bilgisayar ürünü geliştirdiğinden ve tıbbi cihazlar için Orijinal Tasarım Üreticisi (ODM) olduğundan Eclypsium şunları söylüyor: “Bu veya benzer sorunların IEI anakartlarını kullanan diğer tıbbi veya endüstriyel cihazlarda da bulunabilmesi oldukça muhtemeldir” .”
Araştırmacılar ayrıca, halihazırda bir cihazın güvenliğini ihlal eden bir saldırganın, güvenlik açıklarından yararlanarak donanım yazılımını değiştirip sistemi çökertebileceğini de açıklıyor. Gerekli bilgiye sahip bir tehdit aktörü, test sonuçlarına da müdahale edebilir.
“Veriler, bu cihazlardaki bir implant/arka kapı tarafından manipüle edilirse, o zaman bir tehdit aktörü, kalıtsal rahatsızlıkların varlığını veya yokluğunu taklit etmek, tıbbi tedavileri veya yeni aşıları manipüle etmek, atalara ait DNA araştırmalarında sahtecilik yapmak vb. gibi çok çeşitli sonuçları manipüle edebilir.” – Eklipsyum
Eclypsium, Illumina’ya iSeq 100 cihazlarındaki BIOS sorunlarını bildirdi ve biyoteknoloji şirketi de etkilenen müşterilere bir yama yayınladığını bildirdi.
BleepingComputer, düzeltmenin teslim yöntemi ve düzeltmeyi alması gereken iSeq 100 sistemlerinin sayısına ilişkin bir tahmin için Illumina’ya ulaştı.
Şirketin bir sözcüsü, Illumina’nın “standart süreçlerini takip ettiğini ve herhangi bir hafifletme gerekirse etkilenen müşterileri bilgilendireceğini” söyledi.
Bir Illumina temsilcisi BleepingComputer’a “İlk değerlendirmemiz bu sorunların yüksek riskli olmadığını gösteriyor” dedi.
“Illumina, ürünlerimizin güvenliğine ve genomik verilerin gizliliğine kendini adamıştır ve ürünlerimizin geliştirilmesi ve dağıtımına yönelik en iyi güvenlik uygulamaları da dahil olmak üzere gözetim ve hesap verebilirlik süreçleri oluşturduk.
Açıklamanın geri kalanında “Bu taahhüdün bir parçası olarak, sahadaki cihazlar için güvenlik güncellemelerini sunma şeklimizi geliştirmek için her zaman çalışıyoruz” deniyor.
Eclypsium araştırmacıları raporlarında, iSeq 100’deki donanım yazılımının üzerine yazabilen bir tehdit aktörünün “cihazı kolayca devre dışı bırakabileceği” konusunda uyarıyor.
Yüksek değerli sistemleri devre dışı bırakarak işi aksatmak, fidye yazılımı aktörlerinin peşinde olduğu şeydir çünkü amaçları, kurtarma çabalarını mümkün olduğu kadar zorlaştırarak kurbanın fidyeyi ödemesini belirlemektir.
Eclypsium, finansal motivasyona sahip saldırganların yanı sıra, devlet aktörlerinin de DNA dizileme sistemlerini çekici bulabileceğini çünkü bunların “genetik hastalıkların, kanserlerin tespit edilmesi, ilaca dirençli bakterilerin tanımlanması ve aşı üretimi için kritik öneme sahip” olduğunu söylüyor.
2023 yılında ABD’deki Siber Güvenlik Altyapısı Güvenlik Ajansı (CISA) ve Gıda ve İlaç İdaresi (FDA), Illumina’nın Evrensel Kopyalama Hizmetinde (UCS) tıbbi tesisler ve laboratuvarlar tarafından kullanılan birden fazla üründe bulunan iki güvenlik açığı hakkında acil bir tavsiye belgesi yayınladı. dünya çapında.
Sorunlardan biri (CVE-2023-1968) maksimum önem puanı alırken, diğeri (CVE-2023-1966) yüksek önem derecesine sahipti. Illumina o sırada güvenlik sorunlarının nasıl azaltılacağına dair güncellemeler ve talimatlar sağlayarak tepki gösterdi.