Badan Keamanan Infrastruktur Cybersecurity AS (CISA) dan FDA telah mengeluarkan peringatan darurat tentang dua kerentanan yang memengaruhi Layanan Salinan Universal (UCS) Illumina, yang digunakan untuk pengurutan DNA di fasilitas medis dan laboratorium di seluruh dunia.
“Aktor jahat yang tidak diautentikasi dapat mengunggah dan mengeksekusi kode dari jarak jauh di tingkat sistem operasi, yang memungkinkan penyerang mengubah pengaturan, konfigurasi, perangkat lunak, atau mengakses data sensitif pada produk yang terpengaruh,” memperingatkan penasehat CISA dirilis kemarin.
Illumina adalah perusahaan teknologi medis yang berbasis di California yang mengembangkan dan memproduksi bioanalisis canggih dan mesin pengurutan DNA. Perangkat perusahaan adalah salah satu yang paling banyak digunakan untuk pengurutan DNA dalam pengaturan klinis, organisasi penelitian, lembaga akademik, perusahaan bioteknologi, dan perusahaan farmasi di 140 negara.
“Pada 5 April 2023, Illumina mengirimkan pemberitahuan kepada pelanggan yang terkena dampak menginstruksikan mereka untuk memeriksa instrumen dan peralatan medis mereka untuk tanda-tanda potensi eksploitasi kerentanan,” bunyi sebuah penasehat oleh FDA.
“Beberapa instrumen ini memiliki mode boot ganda yang memungkinkan pengguna mengoperasikannya dalam mode diagnostik klinis atau mode RUO. Perangkat yang ditujukan untuk RUO biasanya dalam tahap pengembangan dan harus diberi label “Hanya Untuk Penggunaan Penelitian. Tidak untuk digunakan di prosedur diagnostik.” – meskipun beberapa laboratorium mungkin menggunakannya dengan tes untuk penggunaan diagnostik klinis.”
Kerentanan pertama dilacak sebagai CVE-2023-1968 (skor CVSS v3: 10.0, “kritis”). Ini memungkinkan penyerang jarak jauh untuk mengikat ke alamat IP yang terbuka, memungkinkan penyerang yang tidak diautentikasi untuk mendengarkan semua lalu lintas jaringan untuk menemukan host yang lebih rentan di jaringan.
Dampak potensial dari cacat ini meliputi pengiriman perintah ke perangkat lunak yang terkena dampak, mengubah pengaturan, dan berpotensi mengakses data.
Cacat kedua adalah CVE-2023-1966 (skor CVSS v3: 7.4, “tinggi”), yang merupakan kesalahan konfigurasi keamanan yang memungkinkan pengguna UCS untuk menjalankan perintah dengan hak istimewa yang lebih tinggi.
Cacat berdampak pada produk Illumina berikut:
- Perangkat Lunak Kontrol iScan: v4.0.0
- Perangkat Lunak Kontrol iScan: v4.0.5
- iSeq 100: Semua versi
- Perangkat Lunak Kontrol MiniSeq: v2.0 dan yang lebih baru
- Perangkat Lunak Kontrol MiSeq: v4.0 (Mode RUO)
- Perangkat Lunak Pengoperasian MiSeqDx: v4.0.1 dan yang lebih baru
- Perangkat Lunak Kontrol NextSeq 500/550: v4.0
- Perangkat Lunak Kontrol NextSeq 550Dx: v4.0 (Mode RUO)
- Perangkat Lunak Pengoperasian NextSeq 550Dx: v1.0.0 hingga 1.3.1
- Perangkat Lunak Pengoperasian NextSeq 550Dx: v1.3.3 dan yang lebih baru
- Perangkat Lunak Kontrol NextSeq 1000/2000: v1.7 dan sebelumnya
- Perangkat Lunak Kontrol NovaSeq 6000: v1.7 dan sebelumnya
- Perangkat Lunak Kontrol NovaSeq: v1.8
Kerentanan tidak memengaruhi versi perangkat lunak yang tidak ditentukan dalam daftar di atas, sehingga tidak ada tindakan yang perlu dilakukan.
Tindakan yang disarankan bergantung pada produk dan konfigurasi sistem tertentu, dan Illumina telah menerbitkan buletin yang menyarankan langkah apa yang harus diambil dalam setiap kasus.
Tindakan yang disarankan sering melibatkan pembaruan perangkat lunak sistem menggunakan penginstal khusus produk, mengonfigurasi kredensial akun UCS, dan menutup port firewall.
CISA juga merekomendasikan agar pengguna perangkat medis meminimalkan paparan sistem kontrol ke internet sebanyak mungkin, menggunakan firewall untuk mengisolasinya dari jaringan yang lebih luas dan menggunakan VPN saat diperlukan akses jarak jauh.
