偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

知名基因測序儀曝BIOS漏洞,可禁用疾病監(jiān)測和疫苗開發(fā)

安全
固件安全公司Eclypsium對Illumina設(shè)備中的BIOS固件進行了分析,發(fā)現(xiàn)該設(shè)備啟動時沒有標(biāo)準(zhǔn)的寫入保護,這就容易遭受重寫攻擊,從而可能“使系統(tǒng)變磚”或者植入長期存在的惡意軟件。

美國生物技術(shù)公司Illumina的iSeq 100 DNA測序儀存在BIOS/UEFI漏洞,這可能導(dǎo)致攻擊者禁用用于檢測疾病和開發(fā)疫苗的設(shè)備。Illumina iSeq 100被宣傳為醫(yī)療和研究實驗室可使用的、能提供“快速且具成本效益的遺傳分析”的DNA測序系統(tǒng)。

固件安全公司Eclypsium對Illumina設(shè)備中的BIOS固件進行了分析,發(fā)現(xiàn)該設(shè)備啟動時沒有標(biāo)準(zhǔn)的寫入保護,這就容易遭受重寫攻擊,從而可能“使系統(tǒng)變磚”或者植入長期存在的惡意軟件。

過時且易受攻擊的BIOS

研究人員發(fā)現(xiàn),iSeq 100運行的BIOS固件版本過時,此版本在兼容性支持模式(CSM)下運行以支持舊設(shè)備,并且沒有采用安全啟動技術(shù)進行保護。

1. 漏洞情況

Eclypsium的分析找出了五個主要問題,這些問題致使九個漏洞被利用,這些漏洞的嚴(yán)重程度為高或中等,其中一個漏洞的出現(xiàn)甚至可以追溯到2017年。

除了缺乏BIOS寫入保護之外,iSeq 100設(shè)備還容易受到LogoFAIL、Spectre 2和微架構(gòu)數(shù)據(jù)采樣(MDS)攻擊。雖然在CSM模式下啟動能夠支持傳統(tǒng)設(shè)備,但對于敏感設(shè)備,特別是新一代設(shè)備而言,這種方式是不被推薦的。

研究人員還發(fā)現(xiàn),iSeq 100上存在風(fēng)險的BIOS(B480AM12 - 2018年4月12日)未啟用固件保護,這就允許對啟動設(shè)備的代碼進行修改。再加上缺乏安全啟動(安全啟動可檢查啟動代碼的有效性和完整性),任何惡意更改都不會被發(fā)現(xiàn)。

2. 潛在影響范圍

在報告中,Eclypsium強調(diào)他們的分析僅針對iSeq 100測序儀設(shè)備,但類似問題可能也存在于其他醫(yī)療或工業(yè)設(shè)備中。

研究人員解釋說,醫(yī)療設(shè)備制造商會借助外部供應(yīng)商提供系統(tǒng)的計算能力。就iSeq 100而言,它依賴IEI Integration Corp的OEM主板。由于IEI Integration Corp開發(fā)多種工業(yè)計算機產(chǎn)品,并且是醫(yī)療設(shè)備的原始設(shè)計制造商(ODM),Eclypsium認(rèn)為在使用IEI主板的其他醫(yī)療或工業(yè)設(shè)備中“很可能發(fā)現(xiàn)這些或類似的問題”。

攻擊可能造成的危害

研究人員還指出,如果攻擊者已經(jīng)攻陷設(shè)備,就可以利用這些漏洞修改固件,這可能導(dǎo)致系統(tǒng)變磚;有足夠知識的威脅行為者還能篡改測試結(jié)果。Eclypsium表示:“如果這些設(shè)備中的數(shù)據(jù)被植入/后門操縱,那么威脅行為者可能會操縱包括偽造遺傳病狀的存在或缺席、操縱醫(yī)療治療或新疫苗、偽造祖先DNA研究等在內(nèi)的廣泛結(jié)果。

Eclypsium將iSeq 100設(shè)備中的BIOS問題告知了Illumina,生物技術(shù)公司回復(fù)已向受影響的客戶發(fā)布補丁。該公司發(fā)言人表示,Illumina正在遵循其“標(biāo)準(zhǔn)流程,若需要任何緩解措施,將會通知受影響的客戶”。

Illumina的代表稱:“我們最初的評估表明這些問題不是高風(fēng)險?!盜llumina還強調(diào)致力于產(chǎn)品的安全性和基因組數(shù)據(jù)的隱私,已建立監(jiān)督和問責(zé)流程,包括產(chǎn)品開發(fā)和部署的安全最佳實踐,并且一直在努力改進為現(xiàn)場儀器提供安全更新的方式。

在報告中,Eclypsium的研究人員警告,能夠覆蓋iSeq 100上固件的威脅行為者“可以輕松禁用設(shè)備”。勒索軟件行為者可能會通過接管高價值系統(tǒng)來破壞業(yè)務(wù),因為他們的目的是讓受害者的恢復(fù)工作困難重重,從而迫使受害者支付贖金。除了出于經(jīng)濟利益的攻擊者外,國家行為者也可能會對DNA測序系統(tǒng)感興趣,因為這些系統(tǒng)“對于檢測遺傳病、癌癥、識別耐藥細(xì)菌以及疫苗的生產(chǎn)至關(guān)重要”。

2023年,美國網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施安全局(CISA)和食品藥品監(jiān)督管理局(FDA)發(fā)布了關(guān)于Illumina的通用復(fù)制服務(wù)(UCS)中的兩個漏洞的緊急咨詢,這兩個漏洞存在于全球醫(yī)療設(shè)施和實驗室使用的多種產(chǎn)品中。其中一個問題(CVE - 2023 - 1968)的嚴(yán)重程度最高,另一個(CVE - 2023 - 1966)的嚴(yán)重程度較高。

參考來源:https://www.bleepingcomputer.com/news/security/bios-flaws-expose-iseq-dna-sequencers-to-bootkit-attacks/

責(zé)任編輯:趙寧寧 來源: FreeBuf
相關(guān)推薦

2025-01-09 13:50:12

2024-12-16 16:51:16

2018-12-14 11:28:31

基因測序

2015-07-24 17:33:46

2009-09-09 08:36:36

2014-02-11 15:56:45

2009-04-30 09:02:36

微軟操作系統(tǒng)Windows 7

2021-03-31 10:28:11

GitHub 技術(shù)開源

2024-11-29 15:58:43

2009-05-06 09:03:50

微軟Windows 7操作系統(tǒng)

2011-04-14 14:08:17

2015-03-24 21:08:01

2023-11-15 12:53:31

2024-08-09 16:26:56

2014-12-17 09:16:33

漏洞北京地鐵系統(tǒng)

2009-02-13 09:34:35

2023-08-15 19:15:20

2022-06-13 13:38:41

漏洞網(wǎng)絡(luò)安全網(wǎng)絡(luò)攻擊

2014-09-22 10:38:26

2022-01-17 12:46:05

API漏洞應(yīng)用程序安全
點贊
收藏

51CTO技術(shù)棧公眾號