CISA Memperingatkan Tentang Kerentanan Kritis di Perangkat Pengurutan DNA Illumina

Illumina DNA Sequencing Devices

Badan Keamanan Siber dan Infrastruktur AS (CISA) dan Administrasi Makanan dan Obat-obatan (FDA) AS telah mengeluarkan peringatan tentang kerentanan keamanan kritis dalam perangkat lunak pengurutan (NGS) generasi berikutnya Illumina.

Tiga dari kelemahan tersebut diberi peringkat 10 dari 10 untuk tingkat keparahan pada Common Vulnerability Scoring System (CVSS), dengan dua lainnya memiliki peringkat keparahan 9,1 dan 7,4.

Masalah tersebut berdampak pada perangkat lunak dalam perangkat medis yang digunakan untuk “penggunaan diagnostik klinis dalam mengurutkan DNA seseorang atau pengujian untuk berbagai kondisi genetik, atau untuk penggunaan penelitian saja,” menurut FDA.

Keamanan cyber

“Eksploitasi yang berhasil dari kerentanan ini dapat memungkinkan aktor jahat yang tidak diautentikasi untuk mengendalikan produk yang terpengaruh dari jarak jauh dan mengambil tindakan apa pun di tingkat sistem operasi,” kata CISA dalam sebuah peringatan.

“Seorang penyerang dapat memengaruhi pengaturan, konfigurasi, perangkat lunak, atau data pada produk yang terpengaruh dan berinteraksi melalui produk yang terpengaruh dengan jaringan yang terhubung.”

Perangkat dan instrumen yang terpengaruh termasuk NextSeq 550Dx, MiSeq Dx, NextSeq 500, NextSeq 550, MiSeq, iSeq 100, dan MiniSeq menggunakan perangkat lunak Local Run Manager (LRM) versi 1.3 hingga 3.1.

Daftar kekurangannya adalah sebagai berikut –

  • CVE-2022-1517 (Skor CVSS: 10.0) – Kerentanan eksekusi kode jarak jauh di tingkat sistem operasi yang memungkinkan penyerang merusak pengaturan dan mengakses data sensitif atau API.
  • CVE-2022-1518 (Skor CVSS: 10.0) – Kerentanan traversal direktori yang memungkinkan penyerang mengunggah file berbahaya ke lokasi yang berubah-ubah.
  • CVE-2022-1519 (Skor CVSS: 10.0) – Masalah dengan unggahan tak terbatas dari semua jenis file, yang memungkinkan penyerang mencapai eksekusi kode arbitrer.
  • CVE-2022-1521 (Skor CVSS: 9.1) – Kurangnya otentikasi di LRM secara default, memungkinkan penyerang untuk menyuntikkan, memodifikasi, atau mengakses data sensitif.
  • CVE-2022-1524 (Skor CVSS: 7.4) – Kurangnya enkripsi TLS untuk LRM versi 2.4 dan lebih rendah yang dapat disalahgunakan oleh penyerang untuk melakukan serangan man-in-the-middle (MitM) dan mengakses kredensial.
Keamanan cyber

Selain memungkinkan kendali jarak jauh atas instrumen, kelemahannya dapat dipersenjatai untuk membahayakan tes klinis pasien, yang mengakibatkan hasil yang salah atau berubah selama diagnosis.

Related Post :   Alat YODA Ditemukan ~47.000 Plugin WordPress Berbahaya Dipasang di Lebih dari 24.000 Situs

Meskipun tidak ada bukti bahwa kelemahan tersebut dieksploitasi secara liar, pelanggan disarankan untuk menerapkan tambalan perangkat lunak yang dirilis oleh Illumina bulan lalu untuk mengurangi potensi risiko apa pun.


Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.