美国生物技术公司Illumina的iSeq 100 DNA测序仪存在BIOS/UEFI漏洞，可能让攻击者破坏用于检测疾病和开发疫苗的设备。

Illumina iSeq 100 被宣传为一种 DNA 测序系统，医疗和研究实验室可利用它进行 “快速、经济的基因分析”。

固件安全公司Eclypsium对Illumina设备的BIOS固件进行了分析，发现它在启动时没有标准的写入保护措施，因而容易被覆盖，导致系统 “变砖 ”或植入长期存在的植入物。

老旧而脆弱的 BIOS

研究人员发现，iSeq 100 运行的是过时版本的 BIOS 固件，该固件在兼容支持模式（CSM）下运行，以支持旧设备，而且没有安全启动技术的保护。

Eclypsium 的分析发现了五个主要问题，这些问题允许利用九个高、中严重程度的漏洞，其中一个漏洞早在 2017 年就存在了。

除了缺少 BIOS 写保护外，iSeq 100 设备还容易受到 LogoFAIL、Spectre 2 和微架构数据采样 (MDS) 攻击。

在 Illumina 的 iSeq 100 DNA 测序设备中发现 BIOS/UEFI 问题
来源：Eclypsium 来源：Eclypsium

虽然在 CSM 模式下启动允许支持传统设备，但不建议敏感设备使用，尤其是新一代设备。

研究人员发现，iSeq 100 上存在漏洞的 BIOS（B480AM12 – 04/12/2018）没有启用固件保护，这就允许修改启动设备的代码。

再加上缺乏安全启动（Secure Boot）功能（可检查启动代码的有效性和完整性），任何恶意更改都不会被发现。

Eclypsium 在今天的报告中强调，他们的分析 “仅限于 iSeq 100 测序仪设备”，其他医疗或工业设备也可能存在类似问题。

研究人员解释说，医疗设备制造商使用外部供应商提供系统的计算能力。就 iSeq 100 而言，该设备依赖于 IEI Integration 公司的 OEM 主板。

由于 IEI Integration Corp 开发了多种工业计算机产品，并且是医疗设备的原始设计制造商（ODM），Eclypsium 表示，“这些问题或类似问题极有可能出现在使用 IEI 主板的其他医疗或工业设备中”。

研究人员还解释说，已经入侵设备的攻击者可以利用这些漏洞修改固件，使系统崩溃。掌握必要知识的威胁者还可以篡改测试结果。

“如果数据被这些设备中的植入/后门篡改，那么威胁者就可能篡改一系列结果，包括伪造存在或不存在遗传病、篡改医学治疗或新疫苗、伪造祖先DNA研究等。” – Eclypsium

Eclypsium 向 Illumina 通报了 iSeq 100 设备的 BIOS 问题，该生物技术公司通知他们已向受影响的客户发布了补丁。

BleepingComputer 联系了Illumina公司，要求其就修复程序的交付方式和应收到修复程序的iSeq 100系统数量发表评论。

该公司发言人表示，Illumina 正在遵循其 “标准流程，如果需要采取任何缓解措施，将通知受影响的客户”。

“我们的初步评估表明，这些问题的风险并不高，”Illumina 的一位代表告诉 BleepingComputer。

“Illumina致力于我们产品的安全和基因组数据的隐私，我们已经建立了监督和问责流程，包括我们产品开发和部署的安全最佳实践。

“作为这一承诺的一部分，我们一直在努力改进为现场仪器提供安全更新的方式。”

Eclypsium 的研究人员在报告中警告说，威胁者如果能覆盖 iSeq 100 的固件，就能 “轻易地使设备瘫痪”。

通过破坏高价值系统来扰乱业务正是勒索软件攻击者的目的，因为他们的目标是通过尽可能增加恢复难度来迫使受害者支付赎金。

除了出于经济动机的攻击者，Eclypsium 表示，国家行为者也可能发现 DNA 测序系统很有吸引力，因为它们 “对于检测遗传疾病、癌症、识别耐药细菌和生产疫苗至关重要”。

2023年，美国网络安全基础设施安全局（CISA）和食品药品管理局（FDA）发布了一份紧急公告，指出Illumina公司的通用复制服务（UCS）存在两个漏洞。

其中一个问题（CVE-2023-1968）获得了最高严重性评分，而另一个问题（CVE-2023-1966）则获得了高严重性评分。当时，Illumina 做出了反应，提供了有关如何缓解安全问题的更新和说明。