La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA), publicó una advertencia de aviso médico de Sistemas de Control Industrial (ICS) sobre una vulnerabilidad crítica que afecta a los dispositivos médicos de Illumina.
Los problemas afectan al software Universal Copy Service (UCS) en los instrumentos de secuenciación de ADN Illumina MiSeqDx, NextSeq 550 Dx, iScan, iSeq 100, MiniSeq, MiSeq, NextSeq 500, NextSeq 550, NextSeq 1000/2000 y NovaSeq 6000.
La más grave de las vulnerabilidades, rastreada como CVE-2023-1968 (puntaje CVSS: 10.0), permite a los hackers vincularse a direcciones IP expuestas, lo que hace posible espiar el tráfico de la red y transmitir comandos arbitrarios remotamente.
La segunda vulnerabilidad se relaciona con un caso de configuración incorrecta de privilegios (CVE-2023-1966, puntaje CVSS: 7.4), que podría permitir que un hacker remoto no autenticado cargue y ejecute código con permisos elevados.
La Administración de Alimentos y Medicamentos (FDA), dijo que un usuario no autorizado podría usar la deficiencia como arma para impactar los «resultados de datos genómicos en los instrumentos destinados al diagnóstico clínico, lo que incluye hacer que los instrumentos no proporcionen resultados incorrectos, resultados alterados o una posible violación de datos».
No existe evidencia de que las dos vulnerabilidades hayan sido explotadas en la naturaleza. Se recomienda a los usuarios que apliquen las correcciones publicadas el 5 de abril de 2023 para mitigar las posibles amenazas.
Esta no es la primera vez que se descubren fallas graves en los dispositivos de secuenciación de ADN de Illumina. En junio de 2022, la empresa reveló varias vulnerabilidades similares de las que se podría haber abusado para tomar el control de los sistemas afectados.
La divulgación se produce casi un mes después de que la FDA emitiera una nueva guía que requerirá que los fabricantes de dispositivos médicos se adhieran a un conjunto de requisitos de seguridad cibernética al presentar una solicitud para un nuevo producto.
Esto incluye un plan para monitorear, identificar y abordar vulnerabilidades y exploits de seguridad cibernética «posteriores al mercado» dentro de un período de tiempo razonable, y diseñar y mantener procesos para garantizar la seguridad de dichos dispositivos por medio de parches regulares y fuera de banda.