CISA warnt vor kritischen Schwachstellen in DNA-Sequenziergeräten von Illumina

  • Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) und die US-Arzneimittelbehörde (FDA) haben einen Hinweis auf kritische Sicherheitslücken in der Software für die Sequenzierung der nächsten Generation (NGS) von Illumina veröffentlicht.

    Drei der Schwachstellen werden im Common Vulnerability Scoring System (CVSS) mit 10 von 10 Punkten bewertet, zwei weitere haben die Schweregrade 9,1 und 7,4.

    Die Schwachstellen betreffen Software in medizinischen Geräten, die für „klinische diagnostische Zwecke bei der Sequenzierung der DNA einer Person oder für Tests auf verschiedene genetische Erkrankungen oder nur für Forschungszwecke“ verwendet werden, so die FDA.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEjaBbYTALewJvxPx8cnzv0FMFvygJ4ym5US2q-Uxw_N9KSMl8z0Z7pPOeXOEHgnJ9u00oLe7QZR55XMcwv60hQ_dIuT9MTSCTeu-C3cUe-RgpBF3_hTmoXh7ESgmtUaVloM9dS5jXLtkOLVeYSBrepZsVYuf3lxIAlCR4TsZhB-hFm_HGHwjkDsk9teXQ/s1600/Jira-ads.png]

    „Die erfolgreiche Ausnutzung dieser Schwachstellen kann es einem nicht authentifizierten böswilligen Akteur ermöglichen, die Kontrolle über das betroffene Produkt aus der Ferne zu übernehmen und beliebige Aktionen auf Betriebssystemebene durchzuführen“, so die CISA in einer Warnung.

    „Ein Angreifer könnte Einstellungen, Konfigurationen, Software oder Daten auf dem betroffenen Produkt beeinflussen und über das betroffene Produkt mit dem verbundenen Netzwerk interagieren.“

    Zu den betroffenen Geräten und Instrumenten gehören NextSeq 550Dx, MiSeq Dx, NextSeq 500, NextSeq 550, MiSeq, iSeq 100 und MiniSeq, die die Local Run Manager (LRM)-Softwareversionen 1.3 bis 3.1 verwenden.

    Die Liste der Schwachstellen lautet wie folgt.

    • CVE-2022-1517 (CVSS-Score: 10.0) – Eine Schwachstelle in der Remotecodeausführung auf Betriebssystemebene, die es einem Angreifer ermöglichen könnte, Einstellungen zu manipulieren und auf sensible Daten oder APIs zuzugreifen.
    • CVE-2022-1518 (CVSS-Score: 10.0) – Eine Sicherheitslücke beim Directory Traversal, die es einem Angreifer ermöglichen könnte, bösartige Dateien an beliebige Orte hochzuladen.
    • CVE-2022-1519 (CVSS-Score: 10.0) – Ein Problem mit dem uneingeschränkten Hochladen beliebiger Dateitypen, das einem Angreifer die Ausführung von beliebigem Code ermöglicht.
    • CVE-2022-1521 (CVSS-Score: 9.1) – Standardmäßig fehlende Authentifizierung in LRM, wodurch ein Angreifer sensible Daten einspeisen, ändern oder darauf zugreifen kann.
    • CVE-2022-1524 (CVSS-Score: 7.4) – Eine fehlende TLS-Verschlüsselung für LRM-Versionen 2.4 und niedriger, die von einem Angreifer missbraucht werden könnte, um einen Man-in-the-Middle-Angriff (MitM) durchzuführen und auf Anmeldeinformationen zuzugreifen.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ/s1600/crowdsec-728.jpg]

    Die Schwachstellen ermöglichen nicht nur die Fernsteuerung der Geräte, sondern könnten auch dazu genutzt werden, die klinischen Tests der Patienten zu beeinträchtigen, was zu falschen oder veränderten Ergebnissen bei der Diagnose führen würde.

    Obwohl es keine Hinweise darauf gibt, dass die Schwachstellen in freier Wildbahn ausgenutzt werden, wird den Kunden empfohlen, den von Illumina im letzten Monat veröffentlichten Software-Patch zu installieren, um ein mögliches Risiko zu minimieren.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com