美国政府已就基因组学巨头 Illumina 的 DNA 测序设备中发现的一个严重软件漏洞发出警报,黑客可以利用该漏洞修改或窃取患者的敏感医疗数据。
在周四发布的单独公告中,美国网络安全机构 CISA和美国食品和药物管理局警告称,该安全漏洞(被追踪为 CVE-2023-1968,漏洞严重性最高评级为 10 分中的 10 分)允许黑客远程访问受影响的无需密码即可通过互联网访问设备。如果被利用,该错误可能允许黑客破坏设备以产生不正确或改变的结果,或者根本不产生任何结果。
该公告还警告了第二个漏洞,跟踪为 CVE-2023-1966,严重程度较低,为 7.4(满分 10)。该漏洞可能允许攻击者在操作系统级别远程上传和运行恶意代码,从而允许他们更改设置并访问受影响产品的敏感数据。
这些漏洞影响 Illumina 的 iScan、iSeq、MiniSeq、MiSeq、MiSeqDx、NextSeq 和 NovaSeq 产品。这些产品在全球范围内用于医疗保健领域,专为临床诊断用途而设计,可用于为各种遗传条件或研究目的对个人 DNA 进行测序。
Illumina 发言人 David McAlpine 告诉 TechCrunch,Illumina“没有收到任何表明漏洞已被利用的报告,我们也没有任何漏洞被利用的证据。” McAlpine 拒绝透露 Illumina 是否拥有检测漏洞利用的技术手段,也拒绝透露有多少设备容易受到这些漏洞的影响。
Illumina 首席执行官 Francis deSouza 在 1 月份表示,其安装基数超过 22,000 个测序仪。
Illumina 首席技术官 Alex Aravanis 在LinkedIn 的帖子中表示,该公司发现该漏洞是作为评估其软件潜在漏洞和风险的例行工作的一部分。
“在确定此漏洞后,我们的团队努力开发缓解措施以保护我们的仪器和客户,”Aravanis 说。 “然后,我们与监管机构和客户联系并密切合作,通过免费的简单软件更新来解决这个问题,对大多数人来说几乎不需要停机。”
Illumina 漏洞的消息是在 FDA 上个月宣布将要求医疗设备制造商在提交新产品申请时满足特定的网络安全要求之后发布的。设备制造商必须提交一份计划,说明他们计划如何跟踪和解决漏洞,并包括一份详细说明设备中每个组件的软件材料清单。
Illumina DNA 测序技术中的严重安全漏洞暴露了患者数据作者: Carly Page,最初发表于TechCrunch
原文: https://techcrunch.com/2023/04/28/illumina-dna-tech-fda-security-flaw/