Certains articles de veille peuvent faire l'objet de traduction automatique.
La CISA américaine met en garde contre les vulnérabilités critiques affectant la sécurité des appareils Illumina. Les vulnérabilités existent dans le logiciel Illumina Universal Copy Service, permettant des attaques d’exécution de code à distance.
Vulnérabilités du service de copie universelle d’Illumina
Selon un récent Alerte CISAau moins deux vulnérabilités ont été découvertes dans les dispositifs de séquençage d’ADN Illumina.
Illumina est une société de biotechnologie basée aux États-Unis qui développe et commercialise des équipements pour l’analyse génétique et les fonctions biologiques et médicales. L’entreprise développe des dispositifs clés pour le séquençage des gènes, l’expression des gènes, le génotypage et la protéomique. Universal Copy Service est un logiciel clé pour le séquençage de l’ADN dans les établissements de santé et de recherche.
Comme spécifié dans l’avis de CISA, la première vulnérabilité est une faille d’exécution de code à distance de gravité critique (CVSS 10.0) (CVE-2023-1968) dans Universal Copy Service v2.x. La faille existait en raison de la liaison à une adresse IP illimitée. L’exploitation de la faille pourrait permettre à un attaquant d’écouter sur toutes les adresses IP.
Le deuxième problème (CVE-2023-1966) est une vulnérabilité d’escalade de privilèges très grave (CVSS 7.4) dans Universal Copy Service v1.x et v2.x. L’exploitation de la faille pourrait donner des privilèges inutiles à un attaquant distant non authentifié pour modifier les paramètres de l’appareil et se mêler d’informations sensibles.
Ces vulnérabilités UCS affectent par la suite une gamme d’appareils médicaux exécutant le logiciel. Les équipements vulnérables comprennent :
- Logiciel de contrôle iScan : v4.0.0 et v4.0.5
- iSeq 100 : toutes les versions
- Logiciel de contrôle MiniSeq : v2.0 et plus récent
- Logiciel d’exploitation MiSeqDx : v4.0.1 et plus récent
- Logiciel de contrôle MiSeq : v4.0 (mode RUO)
- Logiciel de contrôle NextSeq 500/550 : v4.0
- Logiciel d’exploitation NextSeq 550Dx : v1.0.0 à 1.3.1 et v1.3.3 et versions ultérieures
- Logiciel de contrôle NextSeq 550Dx : 0 (mode RUO)
- Logiciel de contrôle NextSeq 1000/2000 : v1.4.1 et versions antérieures
- Logiciel de contrôle NovaSeq : v1.8
- Logiciel de contrôle NovaSeq 6000 : v1.7 et versions antérieures
Correctifs déployés
En ce qui concerne les vulnérabilités, Illumina a partagé une description détaillée bulletin de sécurité mettant en évidence les défauts et les correctifs respectifs. Selon FDAle fournisseur a également demandé à tous les clients concernés de vérifier et de mettre à jour leurs systèmes vulnérables.
En outre, CISA a également partagé certaines mesures d’atténuation des problèmes, notamment la limitation de l’exposition du réseau pour les systèmes et dispositifs de contrôle, la protection de ces systèmes derrière des pare-feu et la garantie d’un accès distant sécurisé via des outils tels que les VPN.
Faites-nous part de vos réflexions dans les commentaires.
Poster un commentaire