Dispositifs De Séquençage D'adn Illumina

La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis et la Food and Drug Administration (FDA) ont publié un avis sur les vulnérabilités de sécurité critiques dans le séquençage de nouvelle génération d’Illumina (ENG) Logiciel.

Trois des failles sont notées 10 sur 10 pour la gravité sur le Common Vulnerability Scoring System (CVSS), avec deux autres ayant des cotes de gravité de 9,1 et 7,4.

Les problèmes ont un impact sur les logiciels des dispositifs médicaux utilisés à des « fins de diagnostic clinique pour le séquençage de l’ADN d’une personne ou le test de diverses conditions génétiques, ou à des fins de recherche uniquement ». selon la FDA.

La Cyber-Sécurité

« L’exploitation réussie de ces vulnérabilités peut permettre à un acteur malveillant non authentifié de prendre le contrôle du produit concerné à distance et de prendre toute mesure au niveau du système d’exploitation », CISA a dit dans une alerte.

« Un attaquant pourrait avoir un impact sur les paramètres, les configurations, les logiciels ou les données du produit concerné et interagir via le produit concerné avec le réseau connecté. »

Publicité

Les appareils et instruments concernés incluent NextSeq 550Dx, MiSeq Dx, NextSeq 500, NextSeq 550, MiSeq, iSeq 100 et MiniSeq utilisant les versions 1.3 à 3.1 du logiciel Local Run Manager (LRM).

La liste des défauts est la suivante –

  • CVE-2022-1517 (Score CVSS : 10,0) – Une vulnérabilité d’exécution de code à distance au niveau du système d’exploitation qui pourrait permettre à un attaquant de falsifier les paramètres et d’accéder à des données ou des API sensibles.
  • CVE-2022-1518 (Score CVSS : 10,0) – Une vulnérabilité de traversée de répertoire qui pourrait permettre à un attaquant de télécharger des fichiers malveillants vers des emplacements arbitraires.
  • CVE-2022-1519 (Score CVSS : 10,0) – Un problème avec le téléchargement illimité de tout type de fichier, permettant à un attaquant d’exécuter du code arbitraire.
  • CVE-2022-1521 (Score CVSS : 9,1) – Un manque d’authentification dans LRM par défaut, permettant à un attaquant d’injecter, de modifier ou d’accéder à des données sensibles.
  • CVE-2022-1524 (Score CVSS : 7,4) – Un manque de cryptage TLS pour les versions 2.4 et inférieures de LRM, qui pourrait être utilisé abusivement par un attaquant pour organiser une attaque de type « man-in-the-middle » (MitM) et accéder aux informations d’identification.
La Cyber-Sécurité

En plus de permettre le contrôle à distance des instruments, les défauts pourraient être militarisés pour compromettre les tests cliniques des patients, entraînant des résultats incorrects ou altérés lors du diagnostic.

Bien qu’il n’y ait aucune preuve que les failles soient exploitées dans la nature, il est recommandé aux clients d’appliquer les correctif logiciel publié par Illumina le mois dernier pour atténuer tout risque potentiel.


Rate this post
Publicité
Article précédentLes poids lourds égyptiens concluent des accords d’une valeur de 900 millions de dollars
Article suivantL’empire russe de Google fait face à un avenir incertain
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici