La CISA américaine met en garde contre des vulnérabilités critiques affectant la sécurité des appareils Illumina. Les vulnérabilités existent dans le logiciel Illumina Universal Copy Service, permettant des attaques par exécution de code à distance.
Vulnérabilités du service de copie universel d'Illumina
Selon une récente alerte de la CISA, au moins deux vulnérabilités ont été découvertes dans les appareils de séquençage d'ADN d'Illumina.
Illumina est une entreprise américaine de biotechnologie qui développe et commercialise des équipements pour l'analyse génétique et les fonctions biologiques et médicales connexes. L'entreprise développe des appareils clés pour le séquençage des gènes, l'expression des gènes, le génotypage et la protéomique. Le service de copie universelle est un logiciel clé pour le séquençage de l'ADN dans les établissements de santé et de recherche.
Comme le précise l'avis de la CISA, la première vulnérabilité est une faille d'exécution de code à distance de gravité critique (CVSS 10.0) (CVE-2023-1968) dans le service de copie universel v2.x. La faille existe en raison de la liaison à une adresse IP non restreinte. L'exploitation de cette faille pourrait permettre à un attaquant d'écouter toutes les adresses IP.
Le second problème (CVE-2023-1966) est une vulnérabilité d'élévation de privilèges de haute sévérité (CVSS 7.4) dans Universal Copy Service v1.x et v2.x. L'exploitation de la faille pourrait permettre à un attaquant distant non authentifié d'obtenir des privilèges inutiles pour modifier les paramètres de l'appareil et s'immiscer dans des informations sensibles.
Ces vulnérabilités UCS affectent par la suite toute une série d'appareils médicaux utilisant le logiciel. Les équipements vulnérables comprennent :
- Logiciel de contrôle iScan : v4.0.0 et v4.0.5.
- iSeq 100 : toutes les versions
- Logiciel de contrôle MiniSeq : v2.0 et plus récent
- Logiciel d'exploitation MiSeqDx : v4.0.1 et plus récent
- Logiciel de contrôle MiSeq : v4.0 (mode RUO)
- Logiciel de contrôle NextSeq 500/550 : v4.0
- Logiciel d'exploitation NextSeq 550Dx : v1.0.0 à 1.3.1 et v1.3.3 et plus récent
- Logiciel de contrôle NextSeq 550Dx : 0 (mode RUO)
- Logiciel de contrôle NextSeq 1000/2000 : v1.4.1 et antérieur
- Logiciel de contrôle NovaSeq : v1.8
- Logiciel de contrôle NovaSeq 6000 : v1.7 et antérieures
Déploiement des correctifs
En ce qui concerne les vulnérabilités, Illumina a partagé un bulletin de sécurité détaillé mettant en évidence les failles et les correctifs respectifs. Selon la FDA, le fournisseur a également notifié à tous les clients concernés de vérifier et de mettre à jour leurs systèmes vulnérables.
En outre, la CISA a également fait part de certaines mesures d'atténuation des problèmes, notamment la limitation de l'exposition au réseau des systèmes et dispositifs de contrôle, la protection de ces systèmes par des pare-feu et la garantie d'un accès à distance sécurisé par le biais d'outils tels que les VPN.
Fais-nous part de tes réflexions dans les commentaires.
