L’Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) a publié un avertissement médical sur les systèmes de contrôle industriel (ICS) concernant une faille critique affectant les dispositifs médicaux Illumina.
Les problèmes affectent le logiciel Universal Copy Service (UCS) dans les instruments de séquençage d’ADN Illumina MiSeqDx, NextSeq 550Dx, iScan, iSeq 100, MiniSeq, MiSeq, NextSeq 500, NextSeq 550, NextSeq 1000/2000 et NovaSeq 6000.
La plus grave des failles, CVE-2023-1968 (score CVSS : 10,0), permet aux attaquants distants de se lier aux adresses IP exposées, permettant ainsi d’écouter le trafic réseau et de transmettre à distance des commandes arbitraires.
Le deuxième problème concerne un cas de mauvaise configuration des privilèges (CVE-2023-1966, score CVSS : 7,4) qui pourrait permettre à un acteur malveillant distant non authentifié de télécharger et d’exécuter du code avec des autorisations élevées.
« L’exploitation réussie de ces vulnérabilités pourrait permettre à un attaquant de prendre n’importe quelle action au niveau du système d’exploitation », CISA a dit. « Un acteur malveillant pourrait avoir un impact sur les paramètres, les configurations, les logiciels ou les données du produit concerné ; un acteur malveillant pourrait interagir via le produit concerné via un réseau connecté. »
La Food and Drug Administration (FDA) a dit un utilisateur non autorisé pourrait militariser la lacune pour avoir un impact sur « les résultats des données génomiques dans les instruments destinés au diagnostic clinique, notamment en faisant en sorte que les instruments ne fournissent aucun résultat, des résultats incorrects, des résultats modifiés ou une violation potentielle des données ».
Rien ne prouve que les deux vulnérabilités aient été exploitées à l’état sauvage. Il est recommandé aux utilisateurs de appliquer les correctifs publié le 5 avril 2023 pour atténuer les menaces potentielles.
Apprenez à arrêter les ransomwares avec une protection en temps réel
Rejoignez notre webinaire et découvrez comment arrêter les attaques de ransomwares dans leur élan grâce à la MFA en temps réel et à la protection des comptes de service.
Ce n’est pas la première fois que de graves défauts sont mis au jour dans les dispositifs de séquençage d’ADN d’Illumina. En juin 2022, la société a révélé plusieurs vulnérabilités similaires qui auraient pu être exploitées pour prendre le contrôle des systèmes concernés.
La divulgation intervient près d’un mois après la FDA publié de nouvelles directives qui obligeront les fabricants de dispositifs médicaux à respecter un ensemble d’exigences en matière de cybersécurité lors de la soumission d’une demande pour un nouveau produit.
Cela comprend un plan pour surveiller, identifier et traiter les vulnérabilités et les exploits de cybersécurité « post-commercialisation » dans un délai raisonnable, et concevoir et maintenir des processus pour assurer la sécurité de ces appareils via des correctifs réguliers et hors bande.
