ABD Siber Güvenlik Altyapısı Güvenlik Ajansı (CISA) ve FDA, Illumina’nın dünya çapındaki tıbbi tesislerde ve laboratuvarlarda DNA dizilemesi için kullanılan Evrensel Kopyalama Hizmetini (UCS) etkileyen iki güvenlik açığı hakkında acil bir uyarı yayınladı.
Dün yayınlanan bir CISA danışma belgesi, “Kimliği doğrulanmamış kötü niyetli bir aktör, işletim sistemi düzeyinde uzaktan kod yükleyebilir ve çalıştırabilir, bu da bir saldırganın etkilenen üründeki ayarları, yapılandırmaları, yazılımı değiştirmesine veya hassas verilere erişmesine izin verebilir.”
Illumina, gelişmiş biyoanaliz ve DNA dizileme makineleri geliştiren ve üreten Kaliforniya merkezli bir tıbbi teknoloji şirketidir. Şirketin cihazları, 140 ülkede klinik ortamlarda, araştırma kuruluşlarında, akademik kurumlarda, biyoteknoloji firmalarında ve ilaç şirketlerinde DNA dizileme için en yaygın kullanılan cihazlardan biridir.
FDA tarafından yayınlanan bir danışma belgesinde, “5 Nisan 2023’te Illumina, etkilenen müşterilere aletlerini ve tıbbi cihazlarını güvenlik açığından yararlanma olasılığı olup olmadığını kontrol etmeleri talimatını veren bildirimler gönderdi.”
“Bu cihazlardan bazıları, kullanıcının bunları klinik teşhis modunda veya RUO modunda çalıştırmasına izin veren ikili önyükleme moduna sahiptir. RUO için tasarlanan cihazlar genellikle geliştirme aşamasındadır ve “Yalnızca Araştırma Kullanımı İçindir. teşhis prosedürleri.” – ancak bazı laboratuvarlar bunları klinik teşhis amaçlı testlerde kullanıyor olabilir.”
İlk güvenlik açığı CVE-2023-1968 (CVSS v3 puanı: 10.0, “kritik”) olarak izlenir. Uzaktaki saldırganların açıktaki IP adreslerine bağlanmasına izin vererek, kimliği doğrulanmamış bir saldırganın ağdaki daha fazla savunmasız ana bilgisayarı bulmak için tüm ağ trafiğini dinlemesine izin verir.
Bu kusurun potansiyel etkisi, etkilenen yazılıma komut göndermeyi, ayarları değiştirmeyi ve potansiyel olarak verilere erişmeyi içerir.
İkinci kusur CVE-2023-1966’dır (CVSS v3 puanı: 7.4, “yüksek”), bu, UCS kullanıcılarının yükseltilmiş ayrıcalıklarla komutları yürütmesine izin veren bir yanlış güvenlik yapılandırmasıdır.
Kusurlar aşağıdaki Illumina ürünlerini etkiler:
- iScan Kontrol Yazılımı: v4.0.0
- iScan Kontrol Yazılımı: v4.0.5
- iSeq 100: Tüm sürümler
- MiniSeq Kontrol Yazılımı: v2.0 ve daha yenisi
- MiSeq Kontrol Yazılımı: v4.0 (RUO Modu)
- MiSeqDx İşletim Yazılımı: v4.0.1 ve daha yenisi
- NextSeq 500/550 Kontrol Yazılımı: v4.0
- NextSeq 550Dx Kontrol Yazılımı: v4.0 (RUO Modu)
- NextSeq 550Dx İşletim Yazılımı: v1.0.0 – 1.3.1
- NextSeq 550Dx İşletim Yazılımı: v1.3.3 ve daha yenisi
- NextSeq 1000/2000 Kontrol Yazılımı: v1.7 ve öncesi
- NovaSeq 6000 Kontrol Yazılımı: v1.7 ve öncesi
- NovaSeq Kontrol Yazılımı: v1.8
Güvenlik açıkları, yukarıdaki listede belirtilmeyen yazılım sürümlerini etkilemez ve dolayısıyla herhangi bir işlem yapılması gerekmez.
Önerilen eylem, ürüne ve belirli sistem yapılandırmasına bağlıdır ve Illumina, her durumda hangi adımların atılması gerektiği konusunda tavsiyelerde bulunan bir bülten yayınlamıştır.
Önerilen önlem genellikle ürüne özel yükleyici kullanılarak sistem yazılımının güncellenmesini, UCS hesap kimlik bilgilerinin yapılandırılmasını ve güvenlik duvarı bağlantı noktalarının kapatılmasını içerir.
CISA ayrıca, tıbbi cihaz kullanıcılarının, kontrol sistemlerinin internete maruz kalmasını mümkün olduğunca en aza indirmelerini, güvenlik duvarlarını kullanarak onları daha geniş ağdan izole etmelerini ve uzaktan erişim gerektiğinde VPN’leri kullanmalarını önerir.