Istraživači cyber sigurnosti otkrili su sigurnosne propuste firmvera u instrumentu za sekvencioniranje DNK Illumina iSeq 100 koji bi, ako se uspješno iskorištava, mogao omogućiti napadačima da izgrade ili postave postojani maliciozni softver na osjetljivim uređajima.
„Illumina iSeq 100 koristio je veoma zastarelu implementaciju BIOS firmvera koristeći CSM [Compatibility Support Mode] režim i bez Secure Boot ili standardne zaštite od pisanja firmvera“, navodi Eclypsium u izveštaju podeljenom za The Hacker News.
“Ovo bi omogućilo napadaču na sistemu da prepiše sistemski firmver kako bi ili ‘zagradio’ uređaj ili instalirao implantat firmvera za kontinuiranu upornost napadača.”
Dok je Unified Extensible Firmware Interface ( UEFI ) moderna zamjena za osnovni ulaz/izlazni sistem (BIOS), kompanija za sigurnost firmvera rekla je da se iSeq 100 pokreće na staru verziju BIOS-a (B480AM12 – 04.12.2018.) koja ima poznate ranjivosti.
Takođe primetno odsutne su zaštite koje bi hardveru govorile gde može da čita i piše firmver, čime se dozvoljava napadaču da modifikuje firmver uređaja. Takođe nije omogućeno Secure Boot, čime se dozvoljava da maliciozne promjene firmvera ostanu neotkrivene.
Eclypsium je istakao da nije preporučljivo da novija sredstva visoke vrijednosti podržavaju CSM, jer je to uglavnom namijenjeno starim uređajima koji se ne mogu nadograditi i trebaju održavati kompatibilnost. Nakon odgovornog otkrivanja, Illumina je objavila ispravak.
U hipotetičkom scenariju napada, protivnik bi mogao ciljati nezakrpljene Illumina uređaje, eskalirati njihove privilegije i pisati proizvoljni kod u firmver kako bi ili zagradio sistem ili manipulirao njime kako bi proizveo nenamjerne ishode, kao što je promjena prisutnosti ili odsustva nasljednih stanja i lažiranje DNK istraživanje.
Eclypsium napominje da je njihova “analiza bila ograničena posebno na iSeq 100 sekvencerski uređaj” i da slični problemi mogu biti prisutni u drugim medicinskim ili industrijskim uređajima zbog činjenice da su problemi povezani s matičnom pločom proizvođača originalne opreme (OEM). od strane IEI Integration Corp.
“Ovo je savršen primjer kako greške na početku lanca nabave mogu imati dalekosežne posljedice na mnoge vrste uređaja i dobavljača”, navodi se.
Ovo nije prvi put da su otkrivene ozbiljne ranjivosti u sekvencerima DNK gena kompanije Illumina. U aprilu 2023. kritična sigurnosna greška ( CVE-2023-1968 , CVSS rezultat: 10.0) mogla je omogućiti prisluškivanje mrežnog saobraćaja i daljinski prijenos proizvoljnih komandi.
“Mogućnost prepisivanja firmvera na iSeq 100 omogućila bi napadačima da lako onesposobe uređaj, uzrokujući značajne poremećaje u kontekstu napada ransomware-a. Ovo ne samo da bi uređaj visoke vrijednosti izbacio iz upotrebe, već bi takođe vjerovatno trebalo znatno napor da se uređaj oporavi ručnim ažuriranjem firmvera”, rekao je Eclypsium.
“Ovo bi moglo značajno povećati ulog u kontekstu ransomware-a ili cyber napada. Sekventori su ključni za otkrivanje genetskih bolesti, karcinoma, identifikaciju bakterija otpornih na lijekove i za proizvodnju vakcina. To bi ove uređaje učinilo zrelom metom za državu… bazirani akteri sa geopolitičkim motivima pored tradicionalnijih finansijskih motiva hakera ransomware-a.”
Izvor:The Hacker News
