Eclypsium, o companie specializată în securitatea firmware-ului, a descoperit vulnerabilități în firmware-ul BIOS al secvențiatorului de ADN iSeq 100 de la compania americană de biotehnologie Illumina, care ar putea permite atacatorilor să dezactiveze dispozitivele folosite pentru detectarea bolilor și dezvoltarea vaccinurilor.
iSeq 100 de la Illumina este promovat ca un sistem de secvențiere a ADN-ului pe care laboratoarele medicale și de cercetare îl pot utiliza pentru a efectua „analize genetice rapide și rentabile”.
Analiza Eclypsium a identificat cinci probleme majore care au permis exploatarea a nouă vulnerabilități cu scoruri ridicate și medii de severitate, una dintre ele datând din 2017.
În plus, dispozitivul iSeq 100 era vulnerabil și la atacuri precum LogoFAIL, Spectre 2 și Microarchitectural Data Sampling (MDS).
Într-un raport recent, Eclypsium subliniază că analiza lor „a fost limitată specific dispozitivului de secvențiere iSeq 100” și că probleme similare ar putea exista și în alte dispozitive medicale sau industriale.
În raportul lor, cercetătorii de la Eclypsium avertizează că un actor de amenințare care poate suprascrie firmware-ul iSeq 100 ar putea „dezactiva cu ușurință dispozitivul”. Pe lângă atacatorii motivați financiar, Eclypsium spune că actorii de stat ar putea găsi de asemenea sistemele de secvențiere a ADN-ului atractive, deoarece acestea „sunt critice pentru detectarea bolilor genetice, a cancerelor, identificarea bacteriilor rezistente la medicamente și pentru producția de vaccinuri”.
În 2023, Cybersecurity Infrastructure Security Agency (CISA) și Food and Drug Administration (FDA) din SUA au emis un avertisment urgent despre două vulnerabilități în Serviciul Universal de Copiere (UCS) al Illumina, prezente în mai multe produse utilizate de facilități medicale și laboratoare din întreaga lume.
Unul dintre probleme (CVE-2023-1968) a primit scorul maxim de severitate, în timp ce celălalt (CVE-2023-1966) a primit un scor mare de severitate. Illumina a reacționat la acea vreme furnizând actualizări și instrucțiuni despre cum să se mitige problemele de securitate.
Flaw Sysupgrade OpenWrt permite hackerilor să trimită imagini de firmware malițioase
Malware-ul UEFI BootKitty exploatează LogoFAIL pentru a infecta sistemele Linux
Cercetătorii descoperă primul malware UEFI bootkit pentru Linux
QNAP retrage firmware-ul QTS cu erori cauzând probleme extinse cu NAS-urile
Leave a Reply