米国のサイバーセキュリティ インフラストラクチャ セキュリティ エージェンシー (CISA) と FDA は、世界中の医療施設や研究所で DNA シーケンスに使用されているイルミナのユニバーサル コピー サービス (UCS) に影響を与える 2 つの脆弱性について、緊急の警告を発しました。
「認証されていない悪意のあるアクターがオペレーティング システム レベルでコードをリモートでアップロードして実行する可能性があり、攻撃者が影響を受ける製品の設定、構成、ソフトウェアを変更したり、機密データにアクセスしたりする可能性があります」と、昨日リリースされたCISA アドバイザリは警告しています。
Illumina はカリフォルニアに本拠を置く医療技術企業であり、高度な生物分析および DNA 配列決定装置を開発および製造しています。同社のデバイスは、140 か国の臨床環境、研究機関、学術機関、バイオテクノロジー企業、製薬会社で DNA シーケンスに最も広く使用されているデバイスの 1 つです。
「2023 年 4 月 5 日、イルミナは影響を受ける顧客に通知を送信し、脆弱性の悪用の可能性があるかどうか、機器や医療機器をチェックするように指示しました」とFDA の勧告を読みます。
「これらの機器の一部には、ユーザーが臨床診断モードまたは RUO モードで操作できるようにするデュアル ブート モードがあります。RUO 用のデバイスは通常、開発段階にあり、「研究用のみ。診断手順。」 – 一部の研究所では、臨床診断用のテストでそれらを使用している可能性があります。」
最初の脆弱性は CVE-2023-1968 (CVSS v3 スコア: 10.0、「重大」) として追跡されています。これにより、リモートの攻撃者が公開された IP アドレスにバインドできるため、認証されていない攻撃者がすべてのネットワーク トラフィックをリッスンして、ネットワーク上のさらに脆弱なホストを見つけることができます。
この欠陥の潜在的な影響には、影響を受けるソフトウェアへのコマンドの送信、設定の変更、データへのアクセスの可能性が含まれます。
2 番目の欠陥は CVE-2023-1966 (CVSS v3 スコア: 7.4、「高」) で、UCS のユーザーが昇格された権限でコマンドを実行できるようにするセキュリティの設定ミスです。
この欠陥は、次のイルミナ製品に影響を与えます。
- iScan コントロール ソフトウェア: v4.0.0
- iScan コントロール ソフトウェア: v4.0.5
- iSeq 100: すべてのバージョン
- MiniSeq コントロール ソフトウェア: v2.0 以降
- MiSeq コントロール ソフトウェア: v4.0 (RUO モード)
- MiSeqDx オペレーティング ソフトウェア: v4.0.1 以降
- NextSeq 500/550 コントロール ソフトウェア: v4.0
- NextSeq 550Dx コントロール ソフトウェア: v4.0 (RUO モード)
- NextSeq 550Dx オペレーティング ソフトウェア: v1.0.0 ~ 1.3.1
- NextSeq 550Dx オペレーティング ソフトウェア: v1.3.3 以降
- NextSeq 1000/2000 コントロール ソフトウェア: v1.7 以前
- NovaSeq 6000 コントロール ソフトウェア: v1.7 以前
- NovaSeq コントロール ソフトウェア: v1.8
この脆弱性は、上記のリストに記載されていないソフトウェア バージョンには影響しないため、対処する必要はありません。
推奨されるアクションは、製品および特定のシステム構成によって異なります。 イルミナは、それぞれの場合に取るべき手順についてアドバイスする速報を発行しています。
多くの場合、製品固有のインストーラを使用してシステム ソフトウェアを更新し、UCS アカウント クレデンシャルを設定し、ファイアウォール ポートを閉じることをお勧めします。
また、CISA は、医療機器のユーザーが制御システムのインターネットへの露出を可能な限り最小限に抑え、ファイアウォールを使用してより広いネットワークからそれらを分離し、リモート アクセスが必要な場合は VPN を使用することを推奨しています。
Comments