美國生物技術(shù)公司Illumina的iSeq 100 DNA測序儀存在BIOS/UEFI漏洞，這可能導(dǎo)致攻擊者禁用用于檢測疾病和開發(fā)疫苗的設(shè)備。Illumina iSeq 100被宣傳為醫(yī)療和研究實驗室可使用的、能提供“快速且具成本效益的遺傳分析”的DNA測序系統(tǒng)。

固件安全公司Eclypsium對Illumina設(shè)備中的BIOS固件進行了分析，發(fā)現(xiàn)該設(shè)備啟動時沒有標(biāo)準(zhǔn)的寫入保護，這就容易遭受重寫攻擊，從而可能“使系統(tǒng)變磚”或者植入長期存在的惡意軟件。

過時且易受攻擊的BIOS

研究人員發(fā)現(xiàn)，iSeq 100運行的BIOS固件版本過時，此版本在兼容性支持模式（CSM）下運行以支持舊設(shè)備，并且沒有采用安全啟動技術(shù)進行保護。

1. 漏洞情況

Eclypsium的分析找出了五個主要問題，這些問題致使九個漏洞被利用，這些漏洞的嚴(yán)重程度為高或中等，其中一個漏洞的出現(xiàn)甚至可以追溯到2017年。

除了缺乏BIOS寫入保護之外，iSeq 100設(shè)備還容易受到LogoFAIL、Spectre 2和微架構(gòu)數(shù)據(jù)采樣（MDS）攻擊。雖然在CSM模式下啟動能夠支持傳統(tǒng)設(shè)備，但對于敏感設(shè)備，特別是新一代設(shè)備而言，這種方式是不被推薦的。

研究人員還發(fā)現(xiàn)，iSeq 100上存在風(fēng)險的BIOS（B480AM12 - 2018年4月12日）未啟用固件保護，這就允許對啟動設(shè)備的代碼進行修改。再加上缺乏安全啟動（安全啟動可檢查啟動代碼的有效性和完整性），任何惡意更改都不會被發(fā)現(xiàn)。

2. 潛在影響范圍

在報告中，Eclypsium強調(diào)他們的分析僅針對iSeq 100測序儀設(shè)備，但類似問題可能也存在于其他醫(yī)療或工業(yè)設(shè)備中。

研究人員解釋說，醫(yī)療設(shè)備制造商會借助外部供應(yīng)商提供系統(tǒng)的計算能力。就iSeq 100而言，它依賴IEI Integration Corp的OEM主板。由于IEI Integration Corp開發(fā)多種工業(yè)計算機產(chǎn)品，并且是醫(yī)療設(shè)備的原始設(shè)計制造商（ODM），Eclypsium認(rèn)為在使用IEI主板的其他醫(yī)療或工業(yè)設(shè)備中“很可能發(fā)現(xiàn)這些或類似的問題”。

攻擊可能造成的危害

研究人員還指出，如果攻擊者已經(jīng)攻陷設(shè)備，就可以利用這些漏洞修改固件，這可能導(dǎo)致系統(tǒng)變磚；有足夠知識的威脅行為者還能篡改測試結(jié)果。Eclypsium表示：“如果這些設(shè)備中的數(shù)據(jù)被植入/后門操縱，那么威脅行為者可能會操縱包括偽造遺傳病狀的存在或缺席、操縱醫(yī)療治療或新疫苗、偽造祖先DNA研究等在內(nèi)的廣泛結(jié)果。

Eclypsium將iSeq 100設(shè)備中的BIOS問題告知了Illumina，生物技術(shù)公司回復(fù)已向受影響的客戶發(fā)布補丁。該公司發(fā)言人表示，Illumina正在遵循其“標(biāo)準(zhǔn)流程，若需要任何緩解措施，將會通知受影響的客戶”。

Illumina的代表稱：“我們最初的評估表明這些問題不是高風(fēng)險?！盜llumina還強調(diào)致力于產(chǎn)品的安全性和基因組數(shù)據(jù)的隱私，已建立監(jiān)督和問責(zé)流程，包括產(chǎn)品開發(fā)和部署的安全最佳實踐，并且一直在努力改進為現(xiàn)場儀器提供安全更新的方式。

在報告中，Eclypsium的研究人員警告，能夠覆蓋iSeq 100上固件的威脅行為者“可以輕松禁用設(shè)備”。勒索軟件行為者可能會通過接管高價值系統(tǒng)來破壞業(yè)務(wù)，因為他們的目的是讓受害者的恢復(fù)工作困難重重，從而迫使受害者支付贖金。除了出于經(jīng)濟利益的攻擊者外，國家行為者也可能會對DNA測序系統(tǒng)感興趣，因為這些系統(tǒng)“對于檢測遺傳病、癌癥、識別耐藥細(xì)菌以及疫苗的生產(chǎn)至關(guān)重要”。

2023年，美國網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施安全局（CISA）和食品藥品監(jiān)督管理局（FDA）發(fā)布了關(guān)于Illumina的通用復(fù)制服務(wù)（UCS）中的兩個漏洞的緊急咨詢，這兩個漏洞存在于全球醫(yī)療設(shè)施和實驗室使用的多種產(chǎn)品中。其中一個問題（CVE - 2023 - 1968）的嚴(yán)重程度最高，另一個（CVE - 2023 - 1966）的嚴(yán)重程度較高。

參考來源：https://www.bleepingcomputer.com/news/security/bios-flaws-expose-iseq-dna-sequencers-to-bootkit-attacks/