HackerNews 编译,转载请注明出处:
网络安全研究人员发现,Illumina iSeq 100 DNA测序仪的固件存在安全漏洞。若该漏洞被成功利用,攻击者便可在易受攻击的设备上使其瘫痪或植入持久性恶意软件。
Eclypsium在向The Hacker News分享的一份报告中指出:“Illumina iSeq 100采用了非常过时的BIOS固件实现方式,使用了CSM(兼容性支持模式),且未启用安全启动或标准固件写保护。”
“这将使系统上的攻击者能够覆盖系统固件,从而导致设备瘫痪或安装固件植入物,以实现攻击者的持续存在。”
尽管统一可扩展固件接口(UEFI)是基本输入输出系统(BIOS)的现代替代品,但这家固件安全公司表示,iSeq 100启动的是BIOS的旧版本(B480AM12 – 2018年4月12日),该版本存在已知漏洞。
值得注意的是,该设备还缺少指示硬件可以读取和写入固件位置的保护措施,从而允许攻击者修改设备固件。同时,安全启动也未启用,因此恶意更改固件的行为将不会被检测到。
DNA测序仪
Eclypsium指出,不建议新型高价值资产支持CSM,因为CSM主要用于无法升级且需要保持兼容性的旧设备。在负责任地披露漏洞后,Illumina已发布修复程序。
在假设的攻击场景中,攻击者可以瞄准未打补丁的Illumina设备,提升权限,并向固件写入任意代码。
这并不是Illumina的DNA基因测序仪首次披露严重漏洞。2023年4月,一个关键安全漏洞(CVE-2023-1968,CVSS评分:10.0)可能使攻击者能够窃听网络流量并远程传输任意命令。
“能够在iSeq 100上覆盖固件将使攻击者能够轻松禁用设备,在勒索软件攻击的背景下造成重大破坏。这不仅会使高价值设备停止服务,而且通过手动重新刷新固件来恢复设备也需要付出相当大的努力,”Eclypsium表示。
“在勒索软件或网络攻击的背景下,这可能会显著提高风险。测序仪对于检测遗传疾病、癌症、识别耐药细菌以及疫苗生产至关重要。因此,除了勒索软件行为者的传统财务动机外,这些设备还可能成为具有地缘政治动机的国家行为者的理想目标。”
消息来源:The Hacker News, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
