CISA警告Illumina DNA测序设备存在严重漏洞

美国网络安全和基础设施安全局（CISA）和食品和药物管理局（FDA）发布了一份关于Illumina下一代测序（NGS）软件中关键安全漏洞的咨询意见。

在通用脆弱性评分系统（CVSS）中，其中三个缺陷的严重性评分为10分之10，另外两个缺陷的严重性评分为9.1和7.4。

据美国食品和药物管理局（FDA）称，这些问题影响了医疗设备中的软件，这些软件用于“临床诊断，测序一个人的DNA或测试各种遗传状况，或仅用于研究用途”。

CISA在警报中表示：“成功利用这些漏洞可能使未经验证的恶意行为人能够远程控制受影响的产品，并在操作系统级别采取任何行动。”

攻击者可以影响受影响产品上的设置、配置、软件或数据，并通过受影响产品与连接的网络进行交互

受影响的设备和仪器包括使用本地运行管理器（LRM）软件版本1.3至3.1的NextSeq 550Dx、MiSeq Dx、NextSeq 500、NextSeq 550、MiSeq、iSeq 100和MiniSeq。

缺陷列表如下-

• （CVSS得分：10.0）-操作系统级别的远程代码执行漏洞，允许攻击者篡改设置并访问敏感数据或API。
• （CVSS得分：10.0）-一个目录遍历漏洞，允许攻击者将恶意文件上载到任意位置。
• CVE-2022-1519（CVSS评分：10.0）-任何文件类型的无限制上传问题，允许攻击者执行任意代码。
• CVE-2022-1521（CVSS评分：9.1）-默认情况下，LRM中缺少身份验证，使攻击者能够注入、修改或访问敏感数据。
• （CVSS得分：7.4）-LRM版本2.4及更低版本缺少TLS加密，攻击者可能会滥用TLS加密来发动中间人（MitM）攻击和访问凭据。

除了允许远程控制仪器外，这些缺陷还可能被武器化，以危害患者的临床测试，导致诊断过程中结果不正确或改变。

虽然没有证据表明这些缺陷正在被利用，但建议客户应用Illumina上个月发布的软件补丁，以减轻任何潜在风险。