WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
CISA cảnh báo lỗ hổng nghiêm trọng trong thiết bị y tế phân tích gen Illumina
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) vừa đưa ra cảnh báo về các lỗ hổng nghiêm trọng trong các thiết bị phân tích gen Illumina, có thể cho phép kẻ tấn công từ xa, không được xác thực chiếm quyền sản phẩm bị ảnh hưởng.
Các lỗ hổng ảnh hưởng đến Illumina Local Run Manager (LRM), được sử dụng bởi các công cụ giải trình tự, được dùng để chẩn đoán lâm sàng trong giải trình tự DNA của một người, kiểm tra các tình trạng di truyền khác nhau cũng như nghiên cứu.
Các lỗ hổng CISA cảnh báo gồm bốn "có mức độ nghiêm trọng" và một "có mức độ nghiêm trọng cao" có thể bị khai thác để thực thi mã tùy ý, truy cập thư mục, tải lên tệp tùy ý, kết nối mà không cần xác thực và thực hiện các cuộc tấn công MitM.
Các lỗ hổng CVE-2022-1517, CVE-2022-1518 và CVE-2022-1519 (lỗi nghiêm trọng nhất có điểm CVSS là 10) cho phép thực thi mã từ xa ở cấp hệ điều hành (LRM chạy với các đặc quyền nâng cao), tải lên dữ liệu bên ngoài cấu trúc thư mục dự định và tải lên các tệp tùy ý.
Lỗ hổng CVE-2022-1521 (điểm CVSS 9,1) tồn tại do LRM không có tính năng xác thực hoặc ủy quyền, điều này có thể cho phép kẻ tấn công chèn, chặn hoặc giả mạo dữ liệu nhạy cảm.
Lỗ hổng CVE-2022-1524 (điểm CVSS 7,4) tồn tại do mã hóa TLS bị thiếu trong LRM phiên bản 2.4 hoặc trước đó, do đó cho phép thực hiện một cuộc tấn công man-in-the-middle và truy cập vào quá trình chuyển dữ liệu nhạy cảm.
“Khai thác thành công các lỗ hổng này có thể cho phép kẻ tấn công chưa được xác thực kiểm soát từ xa sản phẩm bị ảnh hưởng và thực hiện bất kỳ hành động nào ở cấp hệ điều hành. Kẻ tấn công có thể tác động vào quá trình cài đặt, cấu hình, phần mềm hoặc dữ liệu trên sản phẩm bị ảnh hưởng và tương tác thông qua sản phẩm bị ảnh hưởng bằng mạng”, CISA lưu ý.
Các sản phẩm bị ảnh hưởng gồm các thiết bị Illumina In Vitro Diagnostic (IVD) (NextSeq 550Dx và MiSeq Dx) và các thiết bị Chỉ sử dụng cho nghiên cứu (ROU) (NextSeq 500, NextSeq 550, MiSeq Instrument, iSeq 100 và MiniSeq Instrument) chạy các phiên bản LRM khác nhau.
Illumina đã phát hành các bản cập nhật nhằm ngăn chặn việc khai thác từ xa những lỗi này và đang chuẩn bị phát hành các bản vá đầy đủ. Vào ngày 3/5, công ty đã thông báo cho các khách hàng bị ảnh hưởng trong ngành chăm sóc sức khỏe về rủi ro thực thi mã từ xa liên quan đến CVE-2022-1517.
FDA cũng đã thông báo cho nhân viên phòng thí nghiệm và các nhà cung cấp dịch vụ chăm sóc sức khỏe về những lỗ hổng này.
Các lỗ hổng ảnh hưởng đến Illumina Local Run Manager (LRM), được sử dụng bởi các công cụ giải trình tự, được dùng để chẩn đoán lâm sàng trong giải trình tự DNA của một người, kiểm tra các tình trạng di truyền khác nhau cũng như nghiên cứu.
Các lỗ hổng CISA cảnh báo gồm bốn "có mức độ nghiêm trọng" và một "có mức độ nghiêm trọng cao" có thể bị khai thác để thực thi mã tùy ý, truy cập thư mục, tải lên tệp tùy ý, kết nối mà không cần xác thực và thực hiện các cuộc tấn công MitM.
Các lỗ hổng CVE-2022-1517, CVE-2022-1518 và CVE-2022-1519 (lỗi nghiêm trọng nhất có điểm CVSS là 10) cho phép thực thi mã từ xa ở cấp hệ điều hành (LRM chạy với các đặc quyền nâng cao), tải lên dữ liệu bên ngoài cấu trúc thư mục dự định và tải lên các tệp tùy ý.
Lỗ hổng CVE-2022-1521 (điểm CVSS 9,1) tồn tại do LRM không có tính năng xác thực hoặc ủy quyền, điều này có thể cho phép kẻ tấn công chèn, chặn hoặc giả mạo dữ liệu nhạy cảm.
Lỗ hổng CVE-2022-1524 (điểm CVSS 7,4) tồn tại do mã hóa TLS bị thiếu trong LRM phiên bản 2.4 hoặc trước đó, do đó cho phép thực hiện một cuộc tấn công man-in-the-middle và truy cập vào quá trình chuyển dữ liệu nhạy cảm.
“Khai thác thành công các lỗ hổng này có thể cho phép kẻ tấn công chưa được xác thực kiểm soát từ xa sản phẩm bị ảnh hưởng và thực hiện bất kỳ hành động nào ở cấp hệ điều hành. Kẻ tấn công có thể tác động vào quá trình cài đặt, cấu hình, phần mềm hoặc dữ liệu trên sản phẩm bị ảnh hưởng và tương tác thông qua sản phẩm bị ảnh hưởng bằng mạng”, CISA lưu ý.
Các sản phẩm bị ảnh hưởng gồm các thiết bị Illumina In Vitro Diagnostic (IVD) (NextSeq 550Dx và MiSeq Dx) và các thiết bị Chỉ sử dụng cho nghiên cứu (ROU) (NextSeq 500, NextSeq 550, MiSeq Instrument, iSeq 100 và MiniSeq Instrument) chạy các phiên bản LRM khác nhau.
Illumina đã phát hành các bản cập nhật nhằm ngăn chặn việc khai thác từ xa những lỗi này và đang chuẩn bị phát hành các bản vá đầy đủ. Vào ngày 3/5, công ty đã thông báo cho các khách hàng bị ảnh hưởng trong ngành chăm sóc sức khỏe về rủi ro thực thi mã từ xa liên quan đến CVE-2022-1517.
FDA cũng đã thông báo cho nhân viên phòng thí nghiệm và các nhà cung cấp dịch vụ chăm sóc sức khỏe về những lỗ hổng này.
Theo Security Week