.webp "BIOS/UEFI")
Araştırmacılar, Güvenli Önyükleme ve ürün yazılımı yazma korumaları gibi temel güvenlik özelliklerinin bulunmaması nedeniyle Illumina iSeq 100 DNA dizileyicilerinde kritik güvenlik açıkları tespit etti.
Bu kusurlar, saldırganların güncel olmayan BIOS veya UEFI uygulamalarından yararlanmasına olanak tanıyarak sistem donanım yazılımını tehlikeye atmalarına olanak tanır. Bu, cihazın tuğlalanmasına veya kalıcı implantların takılması için kullanılmasına neden olabilir.
DNA sıralayıcılar gibi kritik sistemler için ticari donanımların yeniden kullanılması, tedarik zinciri güvenlik risklerini artırırken, genellikle özel yazılım çalıştıran bu cihazlardaki güncel olmayan donanım yazılımı, güvenlik açıkları yaratır.
Satıcıların artırdığı ürün yazılımı güvenlik önlemlerine rağmen, saldırganlar tedarik zincirindeki güvenlik açıklarından yararlanıyor ve cihazları tehlikeye atmak için kötü amaçlı ürün yazılımı güncellemeleri ve önyükleme kiti yerleştirme gibi gelişmiş tekniklerden yararlanıyor.
iSeq 100, eski BIOS önyüklemesi için CSM’yi kullanır, eski ve savunmasız bir BIOS sürümünü (B480AM12) barındırır ve Okuma/Yazma korumaları ve Güvenli Önyükleme gibi temel ürün yazılımı korumalarından yoksundur, bu da onu yetkisiz ürün yazılımı değişikliklerine ve olası saldırılara karşı savunmasız bırakır.
Illumina sıralayıcı RCE güvenlik açığı (CVE-2023-1968), uzaktan yararlanan ve etkilenen cihazlarda rastgele kod yürütülmesine izin veren, FDA’nın geri çağrılmasına ve CISA tavsiyesine yol açan, aygıt yazılımı güvenlik açıklarına sahip cihazları tehlikeye atan saldırganların uygulanabilirliğini göstermektedir.
Düzeltme eki uygulanmamış güvenlik açıkları nedeniyle, saldırganlar ilk erişimi elde etmek, ayrıcalıkları yükseltmek ve aygıt yazılımının üzerine yazmak için bu güvenlik açıklarından yararlanarak potansiyel olarak aygıtı bloke edebilir veya kalıcı kötü amaçlı faaliyetlere olanak tanıyabileceği için saldırılara karşı hassastırlar.
FDA, hem üreticiler hem de kullanıcılar için sağlam değerlendirme araçları ve prosedürleri gerektiren, donanım yazılımı da dahil olmak üzere tıbbi cihazlardaki yazılım işlevlerinin değerlendirilmesini vurgulamaktadır.
Eclypsium’a göre üreticilerin tedarikçilerden gelen bileşenleri değerlendirmesi gerekirken, sağlık ve araştırma kurumlarının da güvenlik ve bütünlüğü sağlamak için cihazları dağıtımdan önce değerlendirmesi gerekiyor.
iSeq 100 ürün yazılımı kullanımı gözlemlenmeden kalırken Hacking Team, LoJax ve MosaicRegressor gibi tarihsel örnekler, geleneksel cihazlardaki BIOS/UEFI’nin güvenlik açığını ortaya koyuyor.
Saldırganlar, işletim sisteminin altında kötü amaçlı kod yürütmek için bu güvenlik açıklarından yararlanarak, tipik güvenlik önlemlerinin ve cihaz depolama silme işlemlerinin ulaşamayacağı kalıcı bir varlık oluşturur.
Saldırganlar, iSeq 100 sıralayıcı gibi kritik cihazlardaki donanım yazılımı açıklarından yararlanarak ilk erişim elde etmelerine, kalıcılık sağlamalarına ve sağlık ve araştırma alanındaki operasyonları kesintiye uğratmalarına olanak tanıyor.
Ürün yazılımının üzerine yazmak, cihazı devre dışı bırakarak genetik analiz ve aşı üretimi gibi kritik işlevleri etkileyerek bu cihazları hem finansal hem de siyasi motivasyonlu saldırganlar için oldukça değerli hedefler haline getiriyor.
Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), donanım bütünlüğüne önem vererek DNA sıralayıcılar için sıkı güvenlik önermektedir.
Cihazların temel kodu olan ürün yazılımı, cihaz güvenliğini sağlamak için titiz bir analiz gerektirir. Kuruluşlar, ürün yazılımı bütünlüğünü değerlendirerek güvenlik açıklarını proaktif bir şekilde tanımlayıp azaltabilir ve sistemlerini potansiyel tehditlere karşı koruyabilir.
ANY.RUN Threat Intelligence Lookup - Extract Millions of IOC's for Interactive Malware Analysis: Try for Free