在 Illumina 的基因组测序工具中发现了一个严重漏洞,其 CVSS 最高得分为 10,该漏洞允许攻击者远程上传并在目标系统上执行代码。
网络安全和基础设施安全局 (CISA) 和食品药品监督管理局 (FDA) 都发布了警报,敦促网络管理员应用可用的补丁。
网络安全和基础设施安全局 (CISA) 和食品药品监督管理局 (FDA) 都发布了警报,敦促网络管理员应用可用的补丁。该错误是在 Illumina 的通用复制服务功能中发现的。据研究人员称,该漏洞 ( CVE-20 2 3-1968 ) 可以被远程利用,并且很容易以“低攻击复杂性”触发。
CVE 带有 CVSS v3 分数:10.0 是在平台中发现的两个错误之一。第二个错误,跟踪为CVE-2023-1966,CVSS v3 得分为 7.4,被认为是高风险。
“成功利用这些漏洞可能允许攻击者在操作系统级别采取任何行动。威胁行为者可能会影响受影响产品上的设置、配置、软件或数据;威胁行为者可能会通过连接的网络与受影响的产品进行交互网络,”根据 CISA 警报。
这两个错误是绑定到不受限制的 IP 地址缺陷和以不必要的权限执行,并且在 iScan 控制软件、iSeq 100、MiniSeq、MiSeqDX、NextSeq 和 NovaSeq 产品的版本中发现。这些工具执行各种下一代测序以及生物信息学。
根据 FDA 的说法,这些是用于研究或临床诊断的医疗设备,用于对个人 DNA 进行遗传条件测序。
严重缺陷与平台的通用复制服务功能 v2.x 有关,该功能将测序输出文件从设备的运行文件夹复制到输出文件夹。但是,它绑定到一个不受限制的 IP 地址,这可能允许未经身份验证的攻击者使用 UCS 来侦听所有 IP 地址,包括那些接受远程通信的 IP 地址。
高严重性错误
同时,在利用 v1.x 和 v2.x 平台的仪器中发现了严重程度为 7.4 的“不必要的特权”漏洞。该漏洞可能使未经身份验证的威胁参与者能够远程上传和执行操作系统级别的代码,允许他们更改设置、配置和软件,甚至访问敏感信息。
FDA 警告说,攻击者无需获得凭据即可远程部署恶意活动,包括可能更改仪器或客户网络中包含的数据。漏洞利用还可能影响仪器中包含的遗传数据的结果,导致“仪器无法提供结果、不正确的结果、改变的结果或潜在的数据泄露。”
“目前,FDA 和 Illumina 尚未收到任何表明此漏洞已被利用的报告,”根据警报。
Illumina 向 CISA 报告了该漏洞,并根据特定配置为系统用户创建了指南以减轻影响。该公司已经开发了一个软件补丁来防止漏洞利用。
FDA 敦促“供应商和实验室人员了解减轻这些网络安全风险所需采取的行动。” 对于许多受影响的设备,建议配置 UCS 帐户凭据,而其他系统的软件将需要更新。
Illumina 还为客户创建了教学视频,通过使用凭证来防止外部访问。该公司本月早些时候直接向用户发送了有关漏洞的通知,敦促他们留意受影响设备上的漏洞利用迹象。
幸运的是,目前还没有针对这些缺陷的公开攻击报告。但鉴于威胁形势的状况,这种情况可能会迅速改变,CISA 建议网络防御者采取防御措施,以最大限度地降低被利用的风险,包括最大限度地减少所有控制系统和设备的暴露,并阻止从互联网访问。
当需要远程访问或其他安全方法时,应使用虚拟专用网络。但 VPN 有其自身的漏洞,因此防御者应确保将工具更新到最新版本以降低可能的风险。
