دولت ایالات متحده زنگ خطری را در مورد آسیبپذیری نرمافزاری حیاتی که در دستگاههای توالییابی DNA غول ژنومیک Illumina یافت شده است، به صدا درآورده است که هکرها میتوانند از آن برای اصلاح یا سرقت دادههای حساس پزشکی بیماران سوء استفاده کنند.
در توصیههای جداگانهای که روز پنجشنبه منتشر شد، آژانس امنیت سایبری ایالات متحده CISA و سازمان غذا و داروی ایالات متحده هشدار دادند که نقص امنیتی – ردیابی شده به عنوان CVE-2023-1968 با حداکثر درجه شدت آسیبپذیری 10 از 10 – به هکرها اجازه میدهد از راه دور به یک آسیبپذیر دسترسی داشته باشند. دستگاه از طریق اینترنت بدون نیاز به رمز عبور. اگر این باگ مورد سوء استفاده قرار گیرد، به هکرها اجازه می دهد تا دستگاه ها را به خطر بیاندازند تا نتایج نادرست یا تغییر یافته یا اصلاً نتیجه ای نداشته باشند.
توصیهها همچنین درباره آسیبپذیری دوم با نام CVE-2023-1966 با رتبهبندی شدت پایینتر 7.4 از 10 هشدار میدهند. این اشکال به مهاجمان اجازه میدهد تا از راه دور کدهای مخرب را در سطح سیستمعامل آپلود و اجرا کنند و به آنها امکان تغییر تنظیمات را میدهد. و به داده های حساس محصول آسیب دیده دسترسی داشته باشید.
این آسیبپذیریها بر محصولات iScan، iSeq، MiniSeq، MiSeq، MiSeqDx، NextSeq و NovaSeq ایلومینا تأثیر میگذارد. این محصولات، که در سراسر جهان در بخش مراقبت های بهداشتی استفاده می شوند، برای استفاده تشخیصی بالینی در تعیین توالی DNA افراد برای شرایط ژنتیکی مختلف یا اهداف تحقیقاتی طراحی شده اند.
دیوید مک آلپین، سخنگوی ایلومینا، به TechCrunch گفت که ایلومینا “هیچ گزارشی مبنی بر سوء استفاده از یک آسیب پذیری دریافت نکرده است، و ما هیچ مدرکی دال بر سوء استفاده از آسیب پذیری ها نداریم.” مک آلپین از بیان اینکه آیا ایلومینا ابزارهای فنی برای تشخیص بهره برداری را دارد یا خیر، یا اینکه چه تعداد دستگاه در برابر این نقص آسیب پذیر هستند، خودداری کرد.
مدیر عامل ایلومینا، فرانسیس دسوزا، در ژانویه گفت که پایه نصب شده آن بیش از 22000 ترتیب دهنده است.
در پستی در لینکدین، الکس آروانیس، مدیر ارشد فناوری Illumina، گفت که این شرکت این آسیبپذیری را به عنوان بخشی از تلاشهای معمول برای ارزیابی نرمافزار خود برای آسیبپذیریها و مواجهههای احتمالی کشف کرده است.
آراوانیس گفت: “با شناسایی این آسیب پذیری، تیم ما سخت کوشید تا اقدامات کاهشی را برای محافظت از ابزار و مشتریان خود ایجاد کند.” ما سپس با رگولاتورها و مشتریان تماس گرفتیم و با همکاری نزدیک با یک بهروزرسانی نرمافزاری ساده و بدون هیچ هزینهای، مشکل را برطرف کردیم، که برای اکثر افراد به زمان کمی یا بدون نیاز به توقف نیاز داشت.»
اخبار مربوط به آسیبپذیری Illumina پس از آن منتشر شد که FDA در ماه گذشته اعلام کرد که سازندگان تجهیزات پزشکی را ملزم میکند هنگام ارسال درخواست برای یک محصول جدید، الزامات امنیتی سایبری خاصی را رعایت کنند. سازندگان دستگاهها باید طرحی را ارائه کنند که در آن توضیح دهد که چگونه میخواهند آسیبپذیریها را ردیابی و برطرف کنند، و یک صورتحساب نرمافزاری مواد را که جزئیات هر جزء در دستگاه را توضیح میدهد، ارائه کنند.