ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Illumina tıbbi cihazlarını etkileyen kritik bir kusura ilişkin bir Endüstriyel Kontrol Sistemleri (ICS) tıbbi tavsiye uyarısı yayınladı.
Sorunlar, Illumina MiSeqDx, NextSeq 550Dx, iScan, iSeq 100, MiniSeq, MiSeq, NextSeq 500, NextSeq 550, NextSeq 1000/2000 ve NovaSeq 6000 DNA dizileme cihazlarındaki Evrensel Kopyalama Hizmeti (UCS) yazılımını etkiler.
Açıkların en ciddisi olan CVE-2023-1968 (CVSS puanı: 10.0), uzaktaki saldırganların açıktaki IP adreslerine bağlanmasına izin vererek ağ trafiğini gizlice dinlemeyi ve uzaktan rasgele komutlar iletmeyi mümkün kılar.
İkinci sorun, kimliği doğrulanmamış uzak bir kötü niyetli aktörün yükseltilmiş izinlerle kod yüklemesine ve yürütmesine olanak verebilecek bir ayrıcalık yanlış yapılandırması (CVE-2023-1966, CVSS puanı: 7.4) ile ilgilidir.
CISA, “Bu güvenlik açıklarının başarılı bir şekilde kullanılması, bir saldırganın işletim sistemi düzeyinde herhangi bir işlem yapmasına izin verebilir.” Dedi. “Bir tehdit aktörü, etkilenen üründeki ayarları, yapılandırmaları, yazılımları veya verileri etkileyebilir; bir tehdit aktörü, bağlı bir ağ aracılığıyla etkilenen ürün aracılığıyla etkileşim kurabilir.”
Gıda ve İlaç İdaresi (FDA), yetkisiz bir kullanıcının, aletlerin hiçbir sonuç vermemesine, yanlış sonuçlara, değiştirilmiş sonuçlara veya potansiyel bir veri ihlaline neden olmak da dahil olmak üzere, klinik teşhis amaçlı araçlardaki “genomik veri sonuçlarını” etkilemek için eksikliği silah olarak kullanabileceğini söyledi. .”
İki güvenlik açığının vahşi ortamda istismar edildiğine dair bir kanıt yok. Olası tehditleri azaltmak için kullanıcıların 5 Nisan 2023’te yayınlanan düzeltmeleri uygulamaları önerilir.
Gerçek Zamanlı Koruma ile Fidye Yazılımını Durdurmayı Öğrenin
Web seminerimize katılın ve gerçek zamanlı MFA ve hizmet hesabı koruması ile fidye yazılımı saldırılarını nasıl durduracağınızı öğrenin.
Koltuğumu Kurtar!
Bu, Illumina’nın DNA Sıralama Cihazlarındaki ciddi kusurların ilk kez ortaya çıkışı değil. Haziran 2022’de şirket, etkilenen sistemlerin kontrolünü ele geçirmek için kötüye kullanılmış olabilecek çok sayıda benzer güvenlik açığını açıkladı.
Açıklama, FDA’nın tıbbi cihaz üreticilerinin yeni bir ürün için başvuru yaparken bir dizi siber güvenlik gerekliliğine uymasını gerektirecek yeni bir kılavuz yayınlamasından neredeyse bir ay sonra geldi.
Bu, “pazar sonrası” siber güvenlik açıklarını ve açıklarını makul bir süre içinde izlemeye, tanımlamaya ve gidermeye yönelik bir planı ve bu tür cihazların güvenliğini düzenli ve bant dışı yamalar yoluyla sağlamak için süreçler tasarlamayı ve sürdürmeyi içerir.