Американское агентство CISA выпустило предупреждение по промышленным системам управления (ICS), касающееся медицинского оборудования компании Illumina. Речь идёт о критической уязвимости в программном обеспечении Universal Copy Service (UCS), которое используется в целой линейке ДНК-секвенаторов, применяемых в клинической диагностике.
Какие устройства под угрозой
Проблема затрагивает приборы Illumina MiSeqDx, NextSeq 550Dx, iScan, iSeq 100, MiniSeq, MiSeq, NextSeq 500, NextSeq 550, NextSeq 1000/2000 и NovaSeq 6000 — то есть практически всю линейку секвенаторов компании, используемых в медицинских лабораториях.
Суть уязвимостей
Самая опасная из двух уязвимостей, CVE-2023-1968, получила максимальную оценку по шкале CVSS — 10.0 из 10. Она позволяет удалённым злоумышленникам привязываться к открытым IP-адресам устройства, что даёт возможность перехватывать сетевой трафик и удалённо отправлять произвольные команды.
Вторая уязвимость, CVE-2023-1966 (CVSS 7.4), связана с некорректной настройкой прав доступа. Она позволяет неаутентифицированному удалённому злоумышленнику загружать и выполнять код с повышенными привилегиями.
«Успешная эксплуатация этих уязвимостей может позволить злоумышленнику совершать любые действия на уровне операционной системы, — говорится в сообщении CISA. — Злоумышленник сможет влиять на настройки, конфигурации, программное обеспечение или данные на уязвимом устройстве, а также взаимодействовать с ним через подключённую сеть».
Управление по санитарному надзору за качеством пищевых продуктов и медикаментов США (FDA) добавило, что злоумышленник, использующий эту уязвимость, способен повлиять на результаты анализа геномных данных на приборах, предназначенных для клинической диагностики, — вплоть до отсутствия результатов, некорректных или искажённых данных, а также утечки информации.
Что делать
По данным CISA, свидетельств эксплуатации этих уязвимостей в реальных атаках пока нет. Пользователям рекомендуется установить исправления, выпущенные компанией Illumina 5 апреля 2023 года, чтобы устранить потенциальную угрозу.
Это не первый подобный инцидент с оборудованием Illumina: в июне 2022 года компания уже раскрывала информацию о нескольких похожих уязвимостях, которые могли использоваться для полного захвата контроля над затронутыми системами.
Публикация предупреждения последовала спустя почти месяц после того, как FDA представило новые требования к производителям медицинского оборудования: при подаче заявки на новый продукт им теперь необходимо соблюдать определённый набор требований по кибербезопасности. В частности, речь идёт о плане мониторинга, выявления и устранения уязвимостей и эксплойтов уже после выхода устройства на рынок в разумные сроки, а также о процессах обеспечения безопасности через регулярные и внеплановые обновления.
Источник: The Hacker News.