Uç Nokta Güvenliği, Donanım / Çip Düzeyinde Güvenlik, Sağlık Hizmetleri
Eclypsium Raporu, Illumina iSeq 100 Ürün Yazılımındaki BIOS/UEFI Sorunlarını Açıklıyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
7 Ocak 2025
Illumina tarafından üretilen bir insan gen sıralayıcısındaki güvenlik açıkları, bilgisayar korsanlarının sistem donanım yazılımının üzerine yazarak cihazı bloke etmesine (kullanılamaz hale getirmesine) veya saldırganın sürekliliği için kötü amaçlı bir donanım yazılımı yerleştirmesine olanak tanıyabilir.
Ayrıca bakınız: IoT Mevzuat Uyumluluğu
Eclypsium’daki araştırmacılar Salı günü yaptığı açıklamada, cihaz üreticisine göre “Illumina portföyündeki en uygun fiyatlı, kompakt tezgah üstü sıralama sistemi” olan Illumina iSeq 100’ün, sahte DNA araştırmaları veya tıbbi araştırmaları manipüle etmek için bir araca dönüştürülebileceğini söyledi.
Popüler DNA dizileme hizmetleri ve tıbbi laboratuvarlar, Illumina gibi üreticiler tarafından üretilen cihazlara güvenmektedir. iSeq 100 modelinin analizi, son teknoloji uygulamalarına rağmen eski ticari donanımlara güvenildiğini göstermektedir.
“Ne yazık ki bu tür sorunlar, DNA sıralayıcılar gibi gelişmiş tıbbi ve araştırma cihazlarında çok yaygındır, çünkü bunlar düzenli olarak onlarca yıl çalışmak üzere tasarlanmış ancak çok az donanım yazılımı alan veya hiç yazılım almayan eski x86 tabanlı endüstriyel bilgisayar kartlarını (SBC – Tek Kartlı Bilgisayarlar) kullanırlar. güvenlik güncellemeleri” dedi Eclypsium’un CTO’su Alex Bazhaniuk.
En etkili güvenlik endişesinin, bir saldırganın bir sistemde kalıcılık kazanabilmesi ve bunu işletim sisteminin çok altında bir düzeyde yapabilmesi olduğunu söyledi. Saldırganlar, BIOS/UEFI olarak bilinen ve işletim sistemi devreye girmeden önce yüklenen kötü amaçlı yazılımların algılanması zor olduğundan ve aygıt yazılımını yeniden yükleme gibi zor bir adım olmadan ortadan kaldırılması çoğu zaman imkansız olduğundan, aygıtları başlatan, BIOS/UEFI olarak bilinen aygıt yazılımındaki istismar edilebilir kusurları ödüllendirir.
“Bunu yaparak saldırgan, sistemdeki yazılımın yaptığı her şeyi potansiyel olarak manipüle etme ve kontrol etme yeteneğine sahip oluyor. Bu durumda, cihazın parçası olan DNA dizileme donanımından alınan DNA sonuçlarını manipüle edebilir veya başka bir senaryoda manipüle edebilirsiniz. Bilgi Güvenliği Medya Grubu’na konuşan Bazhaniuk, “yazılım tarafından diskte depolanan DNA verileridir” dedi.
Eclypsium’un bulguları Illumina’ya bildirdiğini ve cihaz üreticisinin bir yama yayınladığını söyledi.
Illumina yaptığı açıklamada, Eclypsium araştırmasının raporunu ve koordineli güvenlik açığı açıklama ilkelerine olan ortak bağlılığını “takdir ettiğini” söyledi. “Standart süreçlerimizi takip ediyoruz ve herhangi bir hafifletme gerekliyse etkilenen müşterilerimizi bilgilendireceğiz. Açıklamada, “İlk değerlendirmemiz bu sorunların yüksek riskli olmadığını gösteriyor” denildi.
Araştırmacılar, iSeq 100’ün “çok eski” bir önyükleme donanım yazılımı uygulamasını kullandığını buldu. Özellikle cihaz, 2018’den kalma bir BIOS uygulamasını kullanıyor; saldırganlar, eski uygulamaları desteklemek için kullanılan bir ürün yazılımı modülü olan Uyumluluk Destek Modunu açarak cihazı kullanmaya zorlayabilir. Eclypsium, “Bu, yükseltilemeyen eski cihazlar için desteği korurken, daha yeni, yüksek değerli varlıklar için önerilmez.” dedi.
Illumina’nın cihaz için seçtiği BIOS sürümünde bilinen güvenlik açıkları bulunuyor. İşletim sistemi devralmadan önce yalnızca güvenilir yazılımların yüklenebilmesini sağlayan bir spesifikasyon olan Güvenli Önyükleme’yi desteklemez. Araştırmacılar ayrıca cihazın temel okuma/yazma korumasına sahip olmadığını, bunun da bir saldırganın ürün yazılımını değiştirebileceği anlamına geldiğini buldu.
Eclypsium araştırmacıları, iSeq 100 donanım yazılımının vahşi ortamda istismar edildiğine dair bir kanıt görmediler. “Öte yandan, BIOS/UEFI’nin korumasız uygulamalarından neredeyse on yıldır dizüstü bilgisayarlar gibi daha geleneksel cihazlarda defalarca yararlanılıyor.”
Buna, son birkaç yılda LoJax ve MosaicRegressor gibi daha önceki kötü amaçlı UEFI ürün yazılımı implantasyonları da dahildir (bkz.: Hacking Group Casusluk İçin Nadir UEFI Bootkit Kullandı).
Eclypsium, “Son on yılda BIOS/UEFI güvenlik ortamının durumu önemli ölçüde değişti.” dedi. “Devlet tabanlı saldırganlar ve fidye yazılımı operatörleri, hem tedarik zincirindeki donanım yazılımlarını hem de halihazırda sahadaki cihazları hedef almak için topluca harekete geçti.”
Buna yanıt olarak, anakart, yonga seti ve işletim sistemi üreticileri de dahil olmak üzere teknoloji satıcıları, kritik kodları güvende tutmayı amaçlayan güvenlik koruma katmanları ekledi. “Bu çabalara rağmen ürün yazılımı saldırıları artmaya devam etti.”
Bazhaniuk, “Cihaz üreticileri, ürünlerinin yazılım ve bulut altyapısı için kendi sektörlerine odaklanıyor ve geliştirme tamamlandıktan sonra donanımı bırakıyor – sorunların yüksek profili nedeniyle her satıcının güncelleme yaptığı CPU güvenlik açıkları gibi nadir durumlar dışında.” dedi. .
Bu, Illumina cihazlarında tespit edilen ilk güvenlik açığı değil. Illumina’nın iSeq 100 de dahil olmak üzere şirketin genetik test ekipmanlarının birçoğunda bulunan Evrensel Kopya Hizmeti yazılımını etkileyen güvenlik açıkları, 2023’te ABD Gıda ve İlaç İdaresi ile Siber Güvenlik ve Altyapı Güvenliği Ajansı tarafından uyarıların konusuydu (bkz.: Illumina ve Federaller Genetik Test Donanımının Hacklenme Riski Altında Olduğunu Söyledi).
Bazhaniuk, Eclypsium’un tespit ettiği en son güvenlik açıklarının FDA ve CISA’nın uyardığı 2023 seti ile ilgisi olmadığını söyledi.
Bazhaniuk, “Sağlık kuruluşları, ekipmanlarındaki mevcut ürün yazılımı korumalarını kontrol etmeli ve herhangi bir boşluk bulunursa, satıcıdan bunları düzeltmesini ve güncellemeler yayınlamasını talep etmelidir.” dedi.
“Bu, tüm sektörlerde görmeye devam ettiğimiz daha geniş bir tedarik zinciri sorununa işaret ediyor; bir üretici, UEFI donanım yazılımına sahip bir anakart yaparak tedarik zincirini başlatır, ardından bunu Illumina’ya satar ve o da bunu kendi ürünlerine entegre eder” dedi.
“Anakartta güvenlik açıkları ortaya çıkarsa, satıcı bir ürün yazılımı güncellemesi yapar ancak Illumina bu güncellemeleri tedarik zincirinin aşağılarına itmez.”