02.05.2023 | Уязвимости в медицинских устройствах Illumina позволяют изменять геном человека |
Агентство по кибербезопасности и защите инфраструктуры ( CISA ) предупредило о критических уязвимостях в медицинских устройствах Illumina, которые позволяют злоумышленнику фальсифицировать диагнозы пациентов. Проблемы затрагивают программное обеспечение Illumina Universal Copy Service (UCS) в приборах для секвенирования ДНК Illumina MiSeqDx, NextSeq 550Dx, iScan, iSeq 100, MiniSeq, MiSeq, NextSeq 500, NextSeq 550, NextSeq 1000/2000 и NovaSeq 6000. Самая опасная уязвимость, CVE-2023-1968 (CVSS: 10.0), позволяет удаленному злоумышленнику привязываться к открытым IP-адресам и прослушивать сетевой трафик, а также удаленно передавать произвольные команды. Вторая проблема, CVE-2023-1966 (CVSS: 7.4), связана с неправильной настройкой привилегий, и может позволить удаленному неавторизованному киберпреступнику загружать и выполнять код с повышенными привилегиями. По данным CISA, успешная эксплуатация уязвимостей может позволить злоумышленнику выполнять любые действия на уровне операционной системы. Хакер может повлиять на настройки, конфигурации, ПО или данные уязвимого продукта, а также может взаимодействовать с уязвимым продуктом через подключенную сеть. Кроме того, управление по санитарному надзору за качеством пищевых продуктов и медикаментов ( FDA ) заявило , что неавторизованный киберпреступник может использовать недостаток для воздействия на результаты геномных данных в инструментах для клинической диагностики, включая удаление, подмену или фальсификацию результатов, а также утечку данных. Нет никаких доказательств того, что эти две уязвимости использовались в реальных условиях. Пользователям рекомендуется применять исправления, выпущенные 5 апреля 2023 г., для снижения потенциальных угроз. Это не первый случай, когда в устройствах для секвенирования ДНК Illumina обнаруживаются уязвимости. В июне 2022 года в продуктах Illumina было обнаружено несколько похожих недостатков , которые могли быть использованы для захвата контроля над уязвимыми системами, подмены диагноза или кражи генетической информации пациентов. |
Проверить безопасность сайта