نقص امنیتی با رتبه بحرانی در فناوری توالی‌یابی DNA Illumina داده‌های بیمار را در معرض دید قرار می‌دهد

دولت ایالات متحده زنگ خطری را در مورد آسیب‌پذیری نرم‌افزاری حیاتی که در دستگاه‌های توالی‌یابی DNA غول ژنومیک Illumina یافت شده است، به صدا درآورده است که هکرها می‌توانند از آن برای اصلاح یا سرقت داده‌های حساس پزشکی بیماران سوء استفاده کنند.

در توصیه‌های جداگانه‌ای که روز پنجشنبه منتشر شد، آژانس امنیت سایبری ایالات متحده CISA و سازمان غذا و داروی ایالات متحده هشدار دادند که نقص امنیتی – ردیابی شده به عنوان CVE-2023-1968 با حداکثر درجه شدت آسیب‌پذیری 10 از 10 – به هکرها اجازه می‌دهد از راه دور به یک آسیب‌پذیر دسترسی داشته باشند. دستگاه از طریق اینترنت بدون نیاز به رمز عبور. اگر این باگ مورد سوء استفاده قرار گیرد، به هکرها اجازه می دهد تا دستگاه ها را به خطر بیاندازند تا نتایج نادرست یا تغییر یافته یا اصلاً نتیجه ای نداشته باشند.

توصیه‌ها همچنین درباره آسیب‌پذیری دوم با نام CVE-2023-1966 با رتبه‌بندی شدت پایین‌تر 7.4 از 10 هشدار می‌دهند. این اشکال به مهاجمان اجازه می‌دهد تا از راه دور کدهای مخرب را در سطح سیستم‌عامل آپلود و اجرا کنند و به آنها امکان تغییر تنظیمات را می‌دهد. و به داده های حساس محصول آسیب دیده دسترسی داشته باشید.

این آسیب‌پذیری‌ها بر محصولات iScan، iSeq، MiniSeq، MiSeq، MiSeqDx، NextSeq و NovaSeq ایلومینا تأثیر می‌گذارد. این محصولات، که در سراسر جهان در بخش مراقبت های بهداشتی استفاده می شوند، برای استفاده تشخیصی بالینی در تعیین توالی DNA افراد برای شرایط ژنتیکی مختلف یا اهداف تحقیقاتی طراحی شده اند.

دیوید مک آلپین، سخنگوی ایلومینا، به TechCrunch گفت که ایلومینا “هیچ گزارشی مبنی بر سوء استفاده از یک آسیب پذیری دریافت نکرده است، و ما هیچ مدرکی دال بر سوء استفاده از آسیب پذیری ها نداریم.” مک آلپین از بیان اینکه آیا ایلومینا ابزارهای فنی برای تشخیص بهره برداری را دارد یا خیر، یا اینکه چه تعداد دستگاه در برابر این نقص آسیب پذیر هستند، خودداری کرد.

مدیر عامل ایلومینا، فرانسیس دسوزا، در ژانویه گفت که پایه نصب شده آن بیش از 22000 ترتیب دهنده است.

در پستی در لینکدین، الکس آروانیس، مدیر ارشد فناوری Illumina، گفت که این شرکت این آسیب‌پذیری را به عنوان بخشی از تلاش‌های معمول برای ارزیابی نرم‌افزار خود برای آسیب‌پذیری‌ها و مواجهه‌های احتمالی کشف کرده است.

آراوانیس گفت: “با شناسایی این آسیب پذیری، تیم ما سخت کوشید تا اقدامات کاهشی را برای محافظت از ابزار و مشتریان خود ایجاد کند.” ما سپس با رگولاتورها و مشتریان تماس گرفتیم و با همکاری نزدیک با یک به‌روزرسانی نرم‌افزاری ساده و بدون هیچ هزینه‌ای، مشکل را برطرف کردیم، که برای اکثر افراد به زمان کمی یا بدون نیاز به توقف نیاز داشت.»

اخبار مربوط به آسیب‌پذیری Illumina پس از آن منتشر شد که FDA در ماه گذشته اعلام کرد که سازندگان تجهیزات پزشکی را ملزم می‌کند هنگام ارسال درخواست برای یک محصول جدید، الزامات امنیتی سایبری خاصی را رعایت کنند. سازندگان دستگاه‌ها باید طرحی را ارائه کنند که در آن توضیح دهد که چگونه می‌خواهند آسیب‌پذیری‌ها را ردیابی و برطرف کنند، و یک صورتحساب نرم‌افزاری مواد را که جزئیات هر جزء در دستگاه را توضیح می‌دهد، ارائه کنند.