美国生物技术公司Illumina的iSeq 100 DNA测序仪存在BIOS/UEFI漏洞,可能让攻击者破坏用于检测疾病和开发疫苗的设备。
Illumina iSeq 100 被宣传为一种 DNA 测序系统,医疗和研究实验室可利用它进行 “快速、经济的基因分析”。
固件安全公司Eclypsium对Illumina设备的BIOS固件进行了分析,发现它在启动时没有标准的写入保护措施,因而容易被覆盖,导致系统 “变砖 ”或植入长期存在的植入物。
老旧而脆弱的 BIOS
研究人员发现,iSeq 100 运行的是过时版本的 BIOS 固件,该固件在兼容支持模式(CSM)下运行,以支持旧设备,而且没有安全启动技术的保护。
Eclypsium 的分析发现了五个主要问题,这些问题允许利用九个高、中严重程度的漏洞,其中一个漏洞早在 2017 年就存在了。
除了缺少 BIOS 写保护外,iSeq 100 设备还容易受到 LogoFAIL、Spectre 2 和微架构数据采样 (MDS) 攻击。
在 Illumina 的 iSeq 100 DNA 测序设备中发现 BIOS/UEFI 问题
来源:Eclypsium 来源:Eclypsium
虽然在 CSM 模式下启动允许支持传统设备,但不建议敏感设备使用,尤其是新一代设备。
研究人员发现,iSeq 100 上存在漏洞的 BIOS(B480AM12 – 04/12/2018)没有启用固件保护,这就允许修改启动设备的代码。
再加上缺乏安全启动(Secure Boot)功能(可检查启动代码的有效性和完整性),任何恶意更改都不会被发现。
Eclypsium 在今天的报告中强调,他们的分析 “仅限于 iSeq 100 测序仪设备”,其他医疗或工业设备也可能存在类似问题。
研究人员解释说,医疗设备制造商使用外部供应商提供系统的计算能力。就 iSeq 100 而言,该设备依赖于 IEI Integration 公司的 OEM 主板。
由于 IEI Integration Corp 开发了多种工业计算机产品,并且是医疗设备的原始设计制造商(ODM),Eclypsium 表示,“这些问题或类似问题极有可能出现在使用 IEI 主板的其他医疗或工业设备中”。
研究人员还解释说,已经入侵设备的攻击者可以利用这些漏洞修改固件,使系统崩溃。掌握必要知识的威胁者还可以篡改测试结果。
“如果数据被这些设备中的植入/后门篡改,那么威胁者就可能篡改一系列结果,包括伪造存在或不存在遗传病、篡改医学治疗或新疫苗、伪造祖先DNA研究等。” – Eclypsium
Eclypsium 向 Illumina 通报了 iSeq 100 设备的 BIOS 问题,该生物技术公司通知他们已向受影响的客户发布了补丁。
BleepingComputer 联系了Illumina公司,要求其就修复程序的交付方式和应收到修复程序的iSeq 100系统数量发表评论。
该公司发言人表示,Illumina 正在遵循其 “标准流程,如果需要采取任何缓解措施,将通知受影响的客户”。
“我们的初步评估表明,这些问题的风险并不高,”Illumina 的一位代表告诉 BleepingComputer。
“Illumina致力于我们产品的安全和基因组数据的隐私,我们已经建立了监督和问责流程,包括我们产品开发和部署的安全最佳实践。
“作为这一承诺的一部分,我们一直在努力改进为现场仪器提供安全更新的方式。”
Eclypsium 的研究人员在报告中警告说,威胁者如果能覆盖 iSeq 100 的固件,就能 “轻易地使设备瘫痪”。
通过破坏高价值系统来扰乱业务正是勒索软件攻击者的目的,因为他们的目标是通过尽可能增加恢复难度来迫使受害者支付赎金。
除了出于经济动机的攻击者,Eclypsium 表示,国家行为者也可能发现 DNA 测序系统很有吸引力,因为它们 “对于检测遗传疾病、癌症、识别耐药细菌和生产疫苗至关重要”。
2023年,美国网络安全基础设施安全局(CISA)和食品药品管理局(FDA)发布了一份紧急公告,指出Illumina公司的通用复制服务(UCS)存在两个漏洞。
其中一个问题(CVE-2023-1968)获得了最高严重性评分,而另一个问题(CVE-2023-1966)则获得了高严重性评分。当时,Illumina 做出了反应,提供了有关如何缓解安全问题的更新和说明。
发表评论
您还未登录,请先登录。
登录