illumina

想看版本:(回头看,知识点都装了X讲资本)

太长,无法读取版本:

FDA和CISA联合预警(联合执法了属于是);本地运行管理器 (LRM) 软件是漏洞根源;漏洞级别为最高级(很可怕,赶紧修)。6月13日,美国 FDA 发布的医疗器械召回通知显示,illumina(因美纳)被要求召回存在网络安全漏洞的1813台临床测序仪,召回产品的型号为:NextSeq 550 Dx 和 MiSeq Dx,涉及包含中国、美国等数十个国家和地区。Illumina的股票6月2号跌了17%(亏惨了)。

以下是详细资料,标注为知识点,请注意。

发生了什么?

6月2日,官网,美国食品药品监督管理局(FDA)发布消息称,“Illumina网络安全漏洞可能给患者结果和客户网络带来风险。网络安全漏洞影响本地操作管理器(LRM)软件。未经授权的用户可以通过以下方式利用此漏洞:远程控制仪器;更改仪器或客户网络上的设置、配置、软件或数据的操作系统;或影响用于临床诊断的仪器中的患者检验结果,包括仪器不提供结果或不正确的结果、改变的结果或潜在的数据泄漏。”

illumina

受影响的车型包括next seq 550dx、mise qdx、next seq 500、next seq 550、miseq、iseq和mini seq。

好挂,Hiseq系列和Novaseq系列不在此列。换句话说,受影响的型号基本上确定是由于安装了LRM(本地运行管理器)。

知识点:我们熟悉的Novaseq系列和Hiseq系列,因为没有LRM,目前不受影响。例如,NovaSeq只有三个关键软件:NVCS、RTA和UCS。

同一天,美国国土安全部下属的网络安全和基础设施安全局(CISA)发布了工业控制系统咨询(ICSA),详细解释了Illumina Local Run Manager中的几个漏洞。成功利用这些漏洞可能允许未经验证的恶意行为者远程控制受影响的产品,并在操作系统级别采取任何操作。这些漏洞可能会影响受影响产品的设置、配置、软件或数据,并通过受影响产品与连接的网络进行交互。

这个CISA也很接地气。看看别人的网站,会很热闹。

CISA在v3.0版评分系统上给出了10分的高分。

这10分有多高?

就这么高…

知识点:CVSS v3.0最高量化分10分,程度很关键。其他成绩都没什么,低中高。

不得不说,其他美丽国家的重要信息基础设施设备的信息公开还是很完善的。可以看到细节的披露。

知识点:CVE-xxxx,也就是所谓的常见漏洞与暴露,常见漏洞披露。负责组织由国土安全部(DHS)的网络安全和基础设施安全局(CISA)发起。

根据本公告披露的内容:

CVE-2022-1517应该是一个权限提升漏洞,允许攻击者在操作系统级别执行代码,基本相当于root。

CVE-2022-1518是一个目录遍历漏洞,这意味着系统中的文件可以在没有权限的情况下被遍历,你可以想读什么就读什么。

CVE-2022-1519是一个没有限制上传文件类型的漏洞。你想上传什么都可以。

CVE-2022-1521是一个没有默认身份验证的漏洞。你想怎么改都行。

CVE-2022-1524,经典明文数据传输,我能看到你传输的任何东西。

LRM是个啥?

这货看起来像这样:

首先,我们要明白一个问题。illumina的测序仪一般由通用计算机和专有控制系统组成。这台通用计算机上至少有两个系统,一个是控制系统,比如NextSeq system的Next Seq控制软件(NCS)。小型序列的小型序列控制(MNCs)等。该系统负责控制专有架构的测序工作,包括洗脱、拍照等。此外,还有另外一套或多套系统软件用于非实时工作,如排序安排和运行监控。这些工作大部分过去是由一个叫RTA(实时分析)的软件来完成的。

知识点:根据Illumina的公开信息,2019年9月25日发布的下一个Seq System Suite Installer(NSSI)v 4.0增加了LRM,同时继续将RTA升级到v2.11.3

这个产品能做什么?

简单来说就是功能强大,可以通过插件扩展。以分析功能为例:

就问你强不强。

那么它是如何工作的?

从安装需求来看,这是一款依赖IIS,配合PostgreSQL数据库和Erlang脚本工作的网络软件。基本上从它的安装要求推测,错了是不会负责的。

知识点:由于它在运行时打开了web接口,相应的端口暴露在网络中,同时由于本文开头有几个漏洞,潜在的攻击者可以综合利用相应的漏洞获得对定序器的控制。

启示当前,任何高度集成的设备几乎都会暴露在网络攻击的威胁下,目前MGI、真迈等国产测序仪没有披露漏洞,并不意味着高枕无忧,仍然需要在安全上加大投入,与安全方案提供商合作或许是个不错的选择。内外网隔离可能是个不错的方案,但是很难做到真正的“硬隔离”,而且这种隔离会让使用者产生不会受到网络攻击的错觉,反而容易增加脆弱性。数据脱敏是重中之重,永远不要让信息集中在一个地方,比如直接使用身份证编号或者电话号码来标识样本就是个极其愚蠢的策略。不要让不受控的人物理接触重要仪器(他可能拿大锤砸了,手动狗头)。

免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。

发表回复

登录后才能评论