基因测序仪Illumina曝高危漏洞，可窃取数据并远程执行命令

近日，美国网络安全和基础设施安全局 (CISA) 发布了一份工业控制系统 (ICS) 医疗行业警告，警告知名基因测序仪厂商 Illumina 医疗设备存在严重安全漏洞。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，这些漏洞会影响 Illumina MiSeqDx、NextSeq 550Dx、iScan、iSeq 100、MiniSeq、MiSeq、NextSeq 500、NextSeq 550、NextSeq 1000/2000 和 NovaSeq 6000 DNA 测序仪器中的通用复制服务 (UCS) 软件。

其中，最严重的漏洞为 CVE-2023-1968（CVSS 评分：10.0），其使得远程攻击者可以绑定到暴露的 IP 地址，从而可以窃听网络流量并远程执行任意命令。

第2个漏洞与权限错误配置（CVE-2023-1966，CVSS 评分：7.4）有关，错误的配置可以使远程未经身份验证的恶意攻击者能够以提升的权限上传和执行代码。

极牛攻防实验室表示，成功利用这些漏洞可能会让攻击者在操作系统级别采取任何恶意行动，攻击者可以操纵受影响产品的设置、配置、软件及数据，也可以通过连接的网络与受影响的产品进行交互。

美国FDA表示，未经授权的用户可以利用该漏洞来影响用于临床诊断的仪器中的基因组数据结果，包括导致仪器不提供结果、不正确的结果、改变的结果或潜在的数据泄露。

目前没有证据表明这2个漏洞已在野外被利用。这并不是 Illumina 的基因测序仪第一次出现严重安全漏洞。2022 年 6 月，该公司披露了多个可能被滥用以夺取受影响系统控制权的类似漏洞。