知名基因測序儀曝BIOS漏洞,可禁用疾病監(jiān)測和疫苗開發(fā)
美國生物技術(shù)公司Illumina的iSeq 100 DNA測序儀存在BIOS/UEFI漏洞,這可能導(dǎo)致攻擊者禁用用于檢測疾病和開發(fā)疫苗的設(shè)備。Illumina iSeq 100被宣傳為醫(yī)療和研究實驗室可使用的、能提供“快速且具成本效益的遺傳分析”的DNA測序系統(tǒng)。
固件安全公司Eclypsium對Illumina設(shè)備中的BIOS固件進行了分析,發(fā)現(xiàn)該設(shè)備啟動時沒有標(biāo)準(zhǔn)的寫入保護,這就容易遭受重寫攻擊,從而可能“使系統(tǒng)變磚”或者植入長期存在的惡意軟件。
過時且易受攻擊的BIOS
研究人員發(fā)現(xiàn),iSeq 100運行的BIOS固件版本過時,此版本在兼容性支持模式(CSM)下運行以支持舊設(shè)備,并且沒有采用安全啟動技術(shù)進行保護。
1. 漏洞情況
Eclypsium的分析找出了五個主要問題,這些問題致使九個漏洞被利用,這些漏洞的嚴(yán)重程度為高或中等,其中一個漏洞的出現(xiàn)甚至可以追溯到2017年。
除了缺乏BIOS寫入保護之外,iSeq 100設(shè)備還容易受到LogoFAIL、Spectre 2和微架構(gòu)數(shù)據(jù)采樣(MDS)攻擊。雖然在CSM模式下啟動能夠支持傳統(tǒng)設(shè)備,但對于敏感設(shè)備,特別是新一代設(shè)備而言,這種方式是不被推薦的。
研究人員還發(fā)現(xiàn),iSeq 100上存在風(fēng)險的BIOS(B480AM12 - 2018年4月12日)未啟用固件保護,這就允許對啟動設(shè)備的代碼進行修改。再加上缺乏安全啟動(安全啟動可檢查啟動代碼的有效性和完整性),任何惡意更改都不會被發(fā)現(xiàn)。
2. 潛在影響范圍
在報告中,Eclypsium強調(diào)他們的分析僅針對iSeq 100測序儀設(shè)備,但類似問題可能也存在于其他醫(yī)療或工業(yè)設(shè)備中。
研究人員解釋說,醫(yī)療設(shè)備制造商會借助外部供應(yīng)商提供系統(tǒng)的計算能力。就iSeq 100而言,它依賴IEI Integration Corp的OEM主板。由于IEI Integration Corp開發(fā)多種工業(yè)計算機產(chǎn)品,并且是醫(yī)療設(shè)備的原始設(shè)計制造商(ODM),Eclypsium認(rèn)為在使用IEI主板的其他醫(yī)療或工業(yè)設(shè)備中“很可能發(fā)現(xiàn)這些或類似的問題”。
攻擊可能造成的危害
研究人員還指出,如果攻擊者已經(jīng)攻陷設(shè)備,就可以利用這些漏洞修改固件,這可能導(dǎo)致系統(tǒng)變磚;有足夠知識的威脅行為者還能篡改測試結(jié)果。Eclypsium表示:“如果這些設(shè)備中的數(shù)據(jù)被植入/后門操縱,那么威脅行為者可能會操縱包括偽造遺傳病狀的存在或缺席、操縱醫(yī)療治療或新疫苗、偽造祖先DNA研究等在內(nèi)的廣泛結(jié)果。
Eclypsium將iSeq 100設(shè)備中的BIOS問題告知了Illumina,生物技術(shù)公司回復(fù)已向受影響的客戶發(fā)布補丁。該公司發(fā)言人表示,Illumina正在遵循其“標(biāo)準(zhǔn)流程,若需要任何緩解措施,將會通知受影響的客戶”。
Illumina的代表稱:“我們最初的評估表明這些問題不是高風(fēng)險?!盜llumina還強調(diào)致力于產(chǎn)品的安全性和基因組數(shù)據(jù)的隱私,已建立監(jiān)督和問責(zé)流程,包括產(chǎn)品開發(fā)和部署的安全最佳實踐,并且一直在努力改進為現(xiàn)場儀器提供安全更新的方式。
在報告中,Eclypsium的研究人員警告,能夠覆蓋iSeq 100上固件的威脅行為者“可以輕松禁用設(shè)備”。勒索軟件行為者可能會通過接管高價值系統(tǒng)來破壞業(yè)務(wù),因為他們的目的是讓受害者的恢復(fù)工作困難重重,從而迫使受害者支付贖金。除了出于經(jīng)濟利益的攻擊者外,國家行為者也可能會對DNA測序系統(tǒng)感興趣,因為這些系統(tǒng)“對于檢測遺傳病、癌癥、識別耐藥細(xì)菌以及疫苗的生產(chǎn)至關(guān)重要”。
2023年,美國網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施安全局(CISA)和食品藥品監(jiān)督管理局(FDA)發(fā)布了關(guān)于Illumina的通用復(fù)制服務(wù)(UCS)中的兩個漏洞的緊急咨詢,這兩個漏洞存在于全球醫(yī)療設(shè)施和實驗室使用的多種產(chǎn)品中。其中一個問題(CVE - 2023 - 1968)的嚴(yán)重程度最高,另一個(CVE - 2023 - 1966)的嚴(yán)重程度較高。
參考來源:https://www.bleepingcomputer.com/news/security/bios-flaws-expose-iseq-dna-sequencers-to-bootkit-attacks/