装X谈资我要看版本:(往后看,知识点都是装X谈资)
太长懒得看版:
FDA和CISA联合预警(联合执法了属于是);
本地运行管理器 (LRM) 软件是漏洞根源;
漏洞级别为最高级(很可怕,赶紧修)。
6月13日,美国 FDA 发布的医疗器械召回通知显示,illumina(因美纳)被要求召回存在网络安全漏洞的1813台临床测序仪,召回产品的型号为:NextSeq 550 Dx 和 MiSeq Dx,涉及包含中国、美国等数十个国家和地区。
Illumina的股票6月2号跌了17%(亏惨了)。
以下为详细信息,标注为知识点的,请重点注意。
6月2日,美国食品药品监督管理局(Food And Drug Administration,FDA)官网发布消息,称“Illumina 网络安全漏洞可能会给患者结果和客户网络带来风险。网络安全漏洞影响本地运行管理器 (LRM) 软件。未经授权的用户可以通过以下方式利用该漏洞:远程控制仪器;操作系统以更改仪器或客户网络上的设置、配置、软件或数据;或者影响用于临床诊断的仪器中的患者测试结果,包括导致仪器不提供结果或不正确的结果、更改的结果或潜在的数据泄露。”
受影响的机型包括NextSeq 550Dx, the MiSeqDx, the NextSeq 500, NextSeq 550, MiSeq, iSeq, and MiniSeq,好悬,Hiseq系列,Novaseq系列不包含在内。也就是说,受影响的机型基本上是确定是由于安装的LRM(Local Run Manager,本地运行管理软件)。
知识点:我们所熟悉的Novaseq系列、Hiseq系列,目前看来并未受到影响,因为他们没LRM。比如NovaSeq只有NVCS,RTA和UCS三个关键软件。
同日,美国国土安全部下属网络安全和基础设施安全局 (CISA)发布了工业控制系统公告(Industrial Controls Systems Advisory,ICSA),详细说明了 Illumina Local Run Manager 中的多个漏洞。成功利用这些漏洞可能允许未经身份验证的恶意行为者远程控制受影响的产品并在操作系统级别采取任何行动。这些漏洞可能会影响受影响产品的设置、配置、软件或数据,并通过受影响的产品与连接的网络进行交互。
这CISA也很接地气哈,看看人家的网站就很活泼
CISA给出了CVSS v3.0评分系统10分的高分。
这个10分有多高呢?
就这么高…
知识点:CVSS v3.0最高量化评分为10分,程度为Critical(严重)。其他等级分别为没事、低、中等、高。
不得不说哈,人家美丽国对于重要信息基础设备的信息披露还是很完善的。可以看到其中对细节的披露。
知识点:其中的CVE-xxxx的,也就是所谓的Common Vulnerabilities and Exposures,通用漏洞披露。负责机构由美国国土安全部(DHS)网络安全和基础设施安全局(CISA)赞助。
根据本公告披露的内容:
CVE-2022-1517应该是一个权限提升漏洞,允许攻击者在操作系统级别执行代码,基本上相当于root了。
CVE-2022-1518是一个目录遍历漏洞,也就是说可以未经许可,遍历系统中的文件,想看啥就看啥。
CVE-2022-1519是一个未限制上传文件类型的漏洞,想传啥就传啥。
CVE-2022-1521则是一个未设置缺省鉴权的漏洞,想改啥就改啥。
CVE-2022-1524,经典的明文数据传输,你传啥我都能看见。
这货长这样:
首先我们要理解一个问题,illumina家的测序仪上一般包括一台通用架构的计算机+专有架构的控制系统组成,这台通用架构计算机上至少有2套系统,一套是控制系统,比如NextSeq系统的NextSeq Control Software (NCS),MiniSeq的MiniSeq Control (MNCS)等等,这套系统负责控制专有架构的测序工作包括洗脱、拍照等等,另外呢还有另外一套或多套系统软件来进行测序的编排、运行的监控等非实时的工作。这大部分工作以前由一个叫RTA(Real-Time Analysis)的软件来干。
知识点:根据Illumina公开信息,2019年9月25日发布的NextSeq System Suite Installer (NSSI) v4.0增加了LRM,同时继续将RTA升级到v2.11.3。
这货能干啥呢?
简单来说,功能强大,还可以通过插件来扩展,就拿分析功能来说:
就问你强不强。
从安装需求上来看,这是一个依赖IIS的、使用PostgreSQL数据库和Erlang脚本工作的网络软件,基本上从其安装要求上推测,如果错了概不负责。
知识点:由于其运行时开放了web接口,将对应端口暴露在网络中,同时由于存在本文开头的几个漏洞,使得潜在攻击者能够综合运用对应的漏洞获取测序仪的控制权。
当前,任何高度集成的设备几乎都会暴露在网络攻击的威胁下,目前MGI、真迈等国产测序仪没有披露漏洞,并不意味着高枕无忧,仍然需要在安全上加大投入,与安全方案提供商合作或许是个不错的选择。
内外网隔离可能是个不错的方案,但是很难做到真正的“硬隔离”,而且这种隔离会让使用者产生不会受到网络攻击的错觉,反而容易增加脆弱性。
数据脱敏是重中之重,永远不要让信息集中在一个地方,比如直接使用身份证编号或者电话号码来标识样本就是个极其愚蠢的策略。
不要让不受控的人物理接触重要仪器(他可能拿大锤砸了,手动狗头)。
联系客服