Araştırmacılar, Illumina iSeq 100 DNA sıralayıcıda kritik BIOS/UEFI açıklarını keşfetti; burada cihaz, Güvenli Önyükleme ve ürün yazılımı yazma korumaları gibi temel güvenlik özelliklerinden yoksun CSM moduyla güncel olmayan bir ürün yazılımı uygulaması kullanıyor.
Güvenlik açığı penceresi, saldırganların sistemi istismar etmesine, potansiyel olarak donanım yazılımının üzerine yazarak cihazı devre dışı bırakmasına veya kalıcı erişim için kötü amaçlı kod yüklemesine olanak tanır.
Potansiyel gömülü kötü amaçlı yazılımların, arka kapıların varlığı ve güvenlik güncellemelerinin bulunmaması nedeniyle, saldırı yüzeyi güncelliğini yitirmiş donanım yazılımı ve karmaşık tedarik zincirleri nedeniyle artmaktadır.
Genomik bilgi siber güvenliğine yönelik NIST yönergeleri, donanım ve yazılım güvenliğinin kritik rolünü vurguluyor ve bu riskleri azaltmak için bu tür sistemler için sıkı yapılandırma yönetimi ve bütünlük kontrolleri öneriyor.
Geçtiğimiz on yılda saldırganlar, tedarik zincirindeki güvenlik açıklarından yararlanarak ve sahadaki cihazları tehlikeye atarak BIOS/UEFI ürün yazılımını giderek daha fazla hedef aldı ve bu da fidye yazılımı da dahil olmak üzere ürün yazılımı tabanlı saldırılarda artışa yol açtı.
Buna yanıt olarak teknoloji satıcıları güvenli önyükleme, platform bütünlüğü kontrolleri ve uzaktan doğrulama gibi çeşitli güvenlik önlemlerini uygulamaya koydu.
Saldırganlar bu savunmaları aşmak için kötü amaçlı ürün yazılımı güncellemeleri, önyükleme kiti bulaşmaları ve donanım Truva Atları gibi karmaşık tekniklerden yararlanarak uyum sağlamaya devam ederken.
iSeq 100 cihazı, daha güvenli UEFI yerine Uyumluluk Destek Modu’nu (CSM) kullanarak, eski BIOS bellenimini önyüklemesine izin vererek ve potansiyel olarak uyumluluk sorunları ve güvenlik riskleri ortaya çıkararak çeşitli kritik güvenlik açıkları sergiliyor.
Ayrıca bilinen güvenlik açıklarına sahip eski bir BIOS sürümünde çalışıyor ve temel ürün yazılımı korumalarından yoksun. Okuma/Yazma korumaları devre dışı bırakılarak saldırganların cihazın donanım yazılımını serbestçe değiştirmesine olanak sağlanır.
Güvenli Önyüklemenin bulunmaması, kötü amaçlı ürün yazılımı değişikliklerinin tespit edilmemesine olanak tanır ve bu da güvenlik ihlali riskini önemli ölçüde artırır.
Güvenlik Açığından Yararlanma
RCE güvenlik açığından yararlanmak, saldırganlara uzaktan kod yürütme olanağı vererek donanım yazılımını isteğe bağlı olarak değiştirmelerine olanak tanıyabilir; bu, test sonuçlarını manipüle etmekten daha basit bir saldırı olan, cihazı tuğlalama olasılığını da içerir.
Gıda ve İlaç İdaresi (FDA), yazılım kılavuzu kapsamında, cihaz yazılımı da dahil olmak üzere cihazlardaki tüm yazılımların güvenliğinin sağlanmasının önemini vurgulamaktadır.
Bu sorunu çözmek için satıcılar, tedarikçilerinden gelen bileşenleri titizlikle değerlendirmeli ve sağlık kuruluşları, dağıtımdan önce cihazların güvenliğini değerlendirmek için araçlara ihtiyaç duymalıdır; bu, riskleri azaltmak ve tıbbi cihazların bütünlüğünü sağlamak için kapsamlı ürün yazılımı güvenlik değerlendirmelerine doğru bir geçiş gerektirir.
Önceki araştırmalar, geleneksel cihazlardaki BIOS/UEFI’nin güvenlik açığını ortaya koymuş ve bunun Hacking Team, LoJax ve MosaicRegressor gibi rakipler tarafından başarıyla kullanılmasına yol açtığını göstermiştir.
Eclypsium raporuna göre bu trend standart dışı cihazlara da yayılıyor; saldırganlar ilk erişim elde etmek veya kalıcı bir varlığı sürdürmek için ağ, uygulama ve IoT cihazlarındaki ürün yazılımlarını hedef alıyor.
Sağlık ve araştırma alanında kritik bir cihaz olan iSeq 100, benzer saldırılara karşı hassastır. iSeq 100’deki güvenliği ihlal edilmiş donanım yazılımı, saldırganların cihazı devre dışı bırakarak operasyonları kesintiye uğratmasına, kritik araştırmaları etkilemesine ve potansiyel olarak jeopolitik veya finansal amaçlara hizmet etmesine olanak sağlayabilir.
Sonraki tüm yazılım katmanları ürün yazılımının bütünlüğüne bağlı olduğundan, bunun tehlikeye atılması genel cihaz güvenliğini ciddi şekilde zayıflatır.
Yaşam bilimcilerin DNA’yı güvenlik açıklarına karşı analiz etmek için araçlar kullanması gibi, BT ve güvenlik ekipleri de temel donanım kodunu potansiyel zayıflıklar açısından değerlendirmek ve temeldeki teknolojinin sağlam güvenliğini sağlamak için özel araçlara ihtiyaç duyar.
ANY.RUN Threat Intelligence Lookup - Extract Millions of IOC's for Interactive Malware Analysis: Try for Free