近日，美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 發(fā)布了一份工業(yè)控制系統(tǒng) (ICS) 醫(yī)療行業(yè)警告，警告知名基因測(cè)序儀廠商 Illumina 醫(yī)療設(shè)備存在嚴(yán)重安全漏洞。

根據(jù)中國(guó)網(wǎng)絡(luò)安全行業(yè)門戶極牛網(wǎng)(GeekNB.com)的梳理，這些漏洞會(huì)影響 Illumina MiSeqDx、NextSeq 550Dx、iScan、iSeq 100、MiniSeq、MiSeq、NextSeq 500、NextSeq 550、NextSeq 1000/2000 和 NovaSeq 6000 DNA 測(cè)序儀器中的通用復(fù)制服務(wù) (UCS) 軟件。

其中，最嚴(yán)重的漏洞為 CVE-2023-1968（CVSS 評(píng)分：10.0），其使得遠(yuǎn)程攻擊者可以綁定到暴露的 IP 地址，從而可以竊聽網(wǎng)絡(luò)流量并遠(yuǎn)程執(zhí)行任意命令。

第2個(gè)漏洞與權(quán)限錯(cuò)誤配置（CVE-2023-1966，CVSS 評(píng)分：7.4）有關(guān)，錯(cuò)誤的配置可以使遠(yuǎn)程未經(jīng)身份驗(yàn)證的惡意攻擊者能夠以提升的權(quán)限上傳和執(zhí)行代碼。

極牛攻防實(shí)驗(yàn)室表示，成功利用這些漏洞可能會(huì)讓攻擊者在操作系統(tǒng)級(jí)別采取任何惡意行動(dòng)，攻擊者可以操縱受影響產(chǎn)品的設(shè)置、配置、軟件及數(shù)據(jù)，也可以通過連接的網(wǎng)絡(luò)與受影響的產(chǎn)品進(jìn)行交互。

美國(guó)FDA表示，未經(jīng)授權(quán)的用戶可以利用該漏洞來影響用于臨床診斷的儀器中的基因組數(shù)據(jù)結(jié)果，包括導(dǎo)致儀器不提供結(jié)果、不正確的結(jié)果、改變的結(jié)果或潛在的數(shù)據(jù)泄露。

目前沒有證據(jù)表明這2個(gè)漏洞已在野外被利用。這并不是 Illumina 的基因測(cè)序儀第一次出現(xiàn)嚴(yán)重安全漏洞。2022 年 6 月，該公司披露了多個(gè)可能被濫用以奪取受影響系統(tǒng)控制權(quán)的類似漏洞。