Illumina基因测序仪曝多个重大漏洞,可远程代码执行篡改数据

CISA警告Illumina的DNA测序设备中的关键脆弱性

最近的网络安全研究中发现,美国网络安全和基础设施安全局 (CISA) 和美国食品药品监督管理局 (FDA) 针对全球最大的基因测序仪公司 Illumina 的下一代测序软件中的一个关键安全漏洞发布了一则公告,Illumina测序仪曝出多个高危安全漏洞。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理,Illumina共曝出5个安全漏洞,其中3个CVSS评分为10分(满分10分),另外2个的评分分别是9.1分和7.4分。成功利用这些漏洞可以允许未经身份验证的黑客远程控制基因测序仪,并在操作系统级别上对测序仪的配置、软件和数据进行任意操作。

受影响的Illumina测序仪型号包括 NextSeq 550Dx、MiSeq Dx、NextSeq 500、NextSeq 550、MiSeq、iSeq 100 和使用 Local Run Manager (LRM) 软件版本 1.3 至 3.1 的 MiniSeq。

本次曝光的安全漏洞列表如下:

  • CVE-2022-1517(CVSS 评分:10)- 操作系统级别的远程代码执行漏洞,可能允许攻击者篡改设置并访问敏感数据或 API。
  • CVE-2022-1518(CVSS 评分:10) – 一个目录遍历漏洞,可能允许攻击者将恶意文件上传到任意位置。
  • CVE-2022-1519(CVSS 评分:10) – 任何文件类型的无限制上传问题,允许攻击者实现任意代码执行。
  • CVE-2022-1521(CVSS 评分:9.1) – 默认情况下,LRM 中缺乏身份验证,使攻击者能够注入、修改或访问敏感数据。
  • CVE-2022-1524(CVSS 评分:7.4)- LRM 2.4 及更低版本缺少 TLS 加密,攻击者可能会利用该加密进行中间人 (MitM) 攻击和访问凭据。

这些安全漏洞除了可以实现对基因测序仪进行远程控制外,还可以被武器化以影响患者的临床测序结果,从而导致诊断过程中的结果被篡改。虽然目前没有监测到这些漏洞被广泛利用,但鉴于漏洞的威胁程序极高,建议Illumina基因测序仪客户尽快升级相应的安全补丁。

 

Illumina基因测序仪曝多个重大漏洞,可远程代码执行篡改数据

极牛网精选文章《Illumina基因测序仪曝多个重大漏洞,可远程代码执行篡改数据》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/19659.html

(25)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
上一篇 2022年6月2日 上午11:13
下一篇 2022年6月9日 上午11:04

相关推荐

发表评论

登录后才能评论