美國(guó)生物技術(shù)公司Illumina的iSeq 100 DNA測(cè)序儀存在BIOS/UEFI漏洞，這可能導(dǎo)致攻擊者禁用用于檢測(cè)疾病和開發(fā)疫苗的設(shè)備。Illumina iSeq 100被宣傳為醫(yī)療和研究實(shí)驗(yàn)室可使用的、能提供“快速且具成本效益的遺傳分析”的DNA測(cè)序系統(tǒng)。

固件安全公司Eclypsium對(duì)Illumina設(shè)備中的BIOS固件進(jìn)行了分析，發(fā)現(xiàn)該設(shè)備啟動(dòng)時(shí)沒有標(biāo)準(zhǔn)的寫入保護(hù)，這就容易遭受重寫攻擊，從而可能“使系統(tǒng)變磚”或者植入長(zhǎng)期存在的惡意軟件。

過時(shí)且易受攻擊的BIOS

研究人員發(fā)現(xiàn)，iSeq 100運(yùn)行的BIOS固件版本過時(shí)，此版本在兼容性支持模式（CSM）下運(yùn)行以支持舊設(shè)備，并且沒有采用安全啟動(dòng)技術(shù)進(jìn)行保護(hù)。

1. 漏洞情況

Eclypsium的分析找出了五個(gè)主要問題，這些問題致使九個(gè)漏洞被利用，這些漏洞的嚴(yán)重程度為高或中等，其中一個(gè)漏洞的出現(xiàn)甚至可以追溯到2017年。

除了缺乏BIOS寫入保護(hù)之外，iSeq 100設(shè)備還容易受到LogoFAIL、Spectre 2和微架構(gòu)數(shù)據(jù)采樣（MDS）攻擊。雖然在CSM模式下啟動(dòng)能夠支持傳統(tǒng)設(shè)備，但對(duì)于敏感設(shè)備，特別是新一代設(shè)備而言，這種方式是不被推薦的。

研究人員還發(fā)現(xiàn)，iSeq 100上存在風(fēng)險(xiǎn)的BIOS（B480AM12 - 2018年4月12日）未啟用固件保護(hù)，這就允許對(duì)啟動(dòng)設(shè)備的代碼進(jìn)行修改。再加上缺乏安全啟動(dòng)（安全啟動(dòng)可檢查啟動(dòng)代碼的有效性和完整性），任何惡意更改都不會(huì)被發(fā)現(xiàn)。

2. 潛在影響范圍

在報(bào)告中，Eclypsium強(qiáng)調(diào)他們的分析僅針對(duì)iSeq 100測(cè)序儀設(shè)備，但類似問題可能也存在于其他醫(yī)療或工業(yè)設(shè)備中。

研究人員解釋說，醫(yī)療設(shè)備制造商會(huì)借助外部供應(yīng)商提供系統(tǒng)的計(jì)算能力。就iSeq 100而言，它依賴IEI Integration Corp的OEM主板。由于IEI Integration Corp開發(fā)多種工業(yè)計(jì)算機(jī)產(chǎn)品，并且是醫(yī)療設(shè)備的原始設(shè)計(jì)制造商（ODM），Eclypsium認(rèn)為在使用IEI主板的其他醫(yī)療或工業(yè)設(shè)備中“很可能發(fā)現(xiàn)這些或類似的問題”。

攻擊可能造成的危害

研究人員還指出，如果攻擊者已經(jīng)攻陷設(shè)備，就可以利用這些漏洞修改固件，這可能導(dǎo)致系統(tǒng)變磚；有足夠知識(shí)的威脅行為者還能篡改測(cè)試結(jié)果。Eclypsium表示：“如果這些設(shè)備中的數(shù)據(jù)被植入/后門操縱，那么威脅行為者可能會(huì)操縱包括偽造遺傳病狀的存在或缺席、操縱醫(yī)療治療或新疫苗、偽造祖先DNA研究等在內(nèi)的廣泛結(jié)果。

Eclypsium將iSeq 100設(shè)備中的BIOS問題告知了Illumina，生物技術(shù)公司回復(fù)已向受影響的客戶發(fā)布補(bǔ)丁。該公司發(fā)言人表示，Illumina正在遵循其“標(biāo)準(zhǔn)流程，若需要任何緩解措施，將會(huì)通知受影響的客戶”。

Illumina的代表稱：“我們最初的評(píng)估表明這些問題不是高風(fēng)險(xiǎn)?！盜llumina還強(qiáng)調(diào)致力于產(chǎn)品的安全性和基因組數(shù)據(jù)的隱私，已建立監(jiān)督和問責(zé)流程，包括產(chǎn)品開發(fā)和部署的安全最佳實(shí)踐，并且一直在努力改進(jìn)為現(xiàn)場(chǎng)儀器提供安全更新的方式。

在報(bào)告中，Eclypsium的研究人員警告，能夠覆蓋iSeq 100上固件的威脅行為者“可以輕松禁用設(shè)備”。勒索軟件行為者可能會(huì)通過接管高價(jià)值系統(tǒng)來破壞業(yè)務(wù)，因?yàn)樗麄兊哪康氖亲屖芎φ叩幕謴?fù)工作困難重重，從而迫使受害者支付贖金。除了出于經(jīng)濟(jì)利益的攻擊者外，國(guó)家行為者也可能會(huì)對(duì)DNA測(cè)序系統(tǒng)感興趣，因?yàn)檫@些系統(tǒng)“對(duì)于檢測(cè)遺傳病、癌癥、識(shí)別耐藥細(xì)菌以及疫苗的生產(chǎn)至關(guān)重要”。

2023年，美國(guó)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施安全局（CISA）和食品藥品監(jiān)督管理局（FDA）發(fā)布了關(guān)于Illumina的通用復(fù)制服務(wù)（UCS）中的兩個(gè)漏洞的緊急咨詢，這兩個(gè)漏洞存在于全球醫(yī)療設(shè)施和實(shí)驗(yàn)室使用的多種產(chǎn)品中。其中一個(gè)問題（CVE - 2023 - 1968）的嚴(yán)重程度最高，另一個(gè)（CVE - 2023 - 1966）的嚴(yán)重程度較高。

參考來源：https://www.bleepingcomputer.com/news/security/bios-flaws-expose-iseq-dna-sequencers-to-bootkit-attacks/