Illumina基因测序工具发现严重漏洞

关键要点

• Illumina基因测序工具中发现的严重漏洞，CVSS评分高达10，允许攻击者远程上传和执行代码。
• 美国网络安全和基础设施安全局（CISA）及食品药品监督管理局（FDA）已发布警报，督促网络管理员应用可用的补丁。
• 漏洞存在于Illumina的通用复制服务功能中，攻击复杂度低，易于触发。
• 该漏洞可能允许攻击者更改操作系统设置、配置和软件，甚至访问敏感信息。
• 到目前为止，没有报告显示该漏洞已被利用，但仍需采取措施减少风险。

最近，Illumina的基因测序工具中发现了一个关键漏洞，其网络安全评级（CVSS）高达10。这一漏洞使得攻击者能够远程上传并在目标系统上执行代码，这对用户的操作系统安全构成了巨大的威胁。美国网络安全和基础设施安全局（CISA）与食品药品监督管理局（FDA）双双发布了警报，呼吁网络管理员应尽快应用可用的安全补丁。

该漏洞被发现于Illumina的通用复制服务（UCS）功能内，研究人员指出，这一漏洞尖锐地暴露了系统的安全缺口（）。根据研究者的分析，这一漏洞允许远程攻击，且其“攻击复杂度低”，使得攻击者相对容易地触发。

该漏洞的CVSSV3评分为10.0，是在该平台上发现的两个漏洞之一。第二个漏洞的跟踪编号为，其CVSS评分为7.4，属于高风险漏洞。

“成功利用这些漏洞可能使攻击者能够在操作系统级别执行任意操作。攻击者可以影响所受影响产品的设置、配置、软件或数据，并能够通过联网的受影响产品与其交互”——CISA警报中指出。

这两个漏洞均与不受限制的IP地址问题及不必要权限的执行相关。它们在iScan控制软件、iSeq100、MiniSeq、MiSeqDX、NextSeq和NovaSeq等各种产品的版本中被发现。这些工具执行各类下一代测序工作，以及生物信息学任务。

根据FDA的说法，这些都是用于研究或临床诊断的医疗设备，主要用于对个体DNA进行测序，以识别遗传状况。

高风险漏洞

与之同时，“不必要权限”这一漏洞的风险得分为7.4，影响使用v1.x和v2.x平台的仪器。此漏洞可能使未经过身份验证的攻击者能够远程上传和执行操作系统级别的代码，从而更改设置、配置和软件，甚至访问敏感信息。

FDA警告说，攻击者无需获取凭据就能在受影响的仪器或客户网络上进行恶意活动，包括可能更改数据的情况。此类漏洞可能也会影响仪器中遗传数据的结果，导致“仪器提供无结果、错误结果、篡改后的结果或潜在的数据泄露”。

“目前，FDA和Illumina并未收到任何表明该漏洞已被利用的报告”——警报中这样回应。

Illumina已将这一漏洞报告给CISA，并根据特定配置制定了以减轻影响。该公司已经开发了软件补丁以防止利用。

FDA呼吁“服务提供商和实验室人员了解所需采取的行动，以减轻这些网络安全风险”。对于许多受影响的设备，建议配置UCS账户凭据，而其他系统的软件也需要更新。

Illumina还为客户创建了一些教程视频，这些视频受凭证保护，无外部访问权限。该公司于本月初向用户直接发送了关于漏洞的通知，提醒他们关注受影响设备上的利用迹象。

幸运的是，目前尚未报告有针对这些漏洞的公共利用。但考虑到威胁形势的变化，CISA建议网络防御者采取防御措施以最小化利用风险，包括减少所有