Les vulnérabilités BIOS / UEFI du séquenceur d’ADN iSeq 100 de la société de biotechnologie américaine Illumina pourraient permettre aux attaquants de désactiver les appareils utilisés pour détecter les maladies et développer des vaccins.
L’Illumina iSeq 100 est présenté comme un système de séquençage de l’ADN que les laboratoires médicaux et de recherche peuvent utiliser pour fournir “une analyse génétique rapide et rentable.”
La société de sécurité du micrologiciel Eclypsium a analysé le micrologiciel du BIOS de l’appareil d’Illumina et a découvert qu’il démarrait sans les protections d’écriture standard, le laissant ouvert aux écrasements qui pourraient “briquer” le système ou placer des implants pour une persistance à long terme.
BIOS ancien et vulnérable
Les chercheurs ont découvert qu’iSeq 100 exécutait une version obsolète du micrologiciel du BIOS qui fonctionnait en Mode de prise en charge de la compatibilité (CSM) pour prendre en charge les anciens périphériques et n’était pas protégée par la technologie de démarrage sécurisé.
L’analyse d’Eclypsium a identifié cinq problèmes majeurs qui ont permis l’exploitation de neuf vulnérabilités avec des scores de gravité élevés et moyens, dont une aussi ancienne que 2017.
Outre l’absence de protections en écriture du BIOS, l’appareil iSeq 100 était également vulnérable aux attaques LogoFAIL, Spectre 2 et d’échantillonnage de données microarchitecturales (MDS).
Bien que le démarrage en mode CSM permette la prise en charge des périphériques hérités, il n’est pas recommandé pour les périphériques sensibles, en particulier s’ils sont d’une génération plus récente.
Les chercheurs ont découvert que le BIOS vulnérable (B480AM12 – 04/12/2018) sur iSeq 100 n’avait pas activé les protections du micrologiciel, ce qui permettait de modifier le code de démarrage du périphérique.
Combiné à l’absence de démarrage sécurisé, qui vérifie la validité et l’intégrité du code de démarrage, tout changement malveillant ne serait pas détecté.
Dans un rapport publié aujourd’hui, Eclypsium souligne que leur analyse “s’est limitée spécifiquement au séquenceur iSeq 100 » et que des problèmes similaires peuvent être présents dans d’autres dispositifs médicaux ou industriels.
Les chercheurs expliquent que les fabricants de dispositifs médicaux utilisent des fournisseurs extérieurs pour la puissance de calcul du système. Dans le cas de l’iSeq 100, l’appareil s’appuie sur une carte mère OEM d’IEI Integration Corp.
Étant donné qu’IEI Integration Corp développe plusieurs produits informatiques industriels et est un fabricant de conception originale (ODM) pour les dispositifs médicaux, Eclypsium déclare qu ‘ “il serait très probable que ces problèmes ou des problèmes similaires se retrouvent dans d’autres dispositifs médicaux ou industriels utilisant des cartes mères IEI.”
Les chercheurs expliquent également qu’un attaquant qui a déjà compromis un périphérique pourrait exploiter les vulnérabilités pour modifier le micrologiciel de manière à briquer le système. Un acteur menaçant disposant des connaissances nécessaires pourrait également falsifier les résultats des tests.
« Si les données sont manipulées par un implant / une porte dérobée dans ces dispositifs, un acteur menaçant peut manipuler un large éventail de résultats, notamment simuler la présence ou l’absence de maladies héréditaires, manipuler des traitements médicaux ou de nouveaux vaccins, simuler des recherches sur l’ADN ancestral, etc. »- Éclypsium
Eclypsium a informé Illumina des problèmes de BIOS dans les appareils iSeq 100 et la société de biotechnologie les a informés qu’elle avait publié un correctif pour les clients concernés.
Breachtrace a contacté Illumina pour obtenir un commentaire sur la méthode de livraison du correctif et une estimation du nombre de systèmes iSeq 100 qui devraient le recevoir.
Un porte-parole de la société a déclaré qu’Illumina suivait ses “processus standard et informerait les clients concernés si des mesures d’atténuation étaient nécessaires.”
« Notre évaluation initiale indique que ces problèmes ne sont pas à haut risque”, a déclaré un représentant d’Illumina à Breachtrace .
« Illumina s’engage à assurer la sécurité de nos produits et la confidentialité des données génomiques et nous avons mis en place des processus de surveillance et de responsabilisation, y compris les meilleures pratiques de sécurité pour le développement et le déploiement de nos produits.
“Dans le cadre de cet engagement, nous travaillons toujours à améliorer la façon dont nous fournissons des mises à jour de sécurité pour les instruments sur le terrain”, lit-on dans le reste de la déclaration.
Dans leur rapport, les chercheurs d’Eclypsium avertissent qu’un acteur menaçant capable d’écraser le micrologiciel sur iSeq 100 pourrait “facilement désactiver l’appareil.”
Perturber l’entreprise en supprimant des systèmes de grande valeur est exactement ce que recherchent les acteurs des ransomwares, car leur objectif est de déterminer la victime à payer la rançon en rendant ses efforts de récupération aussi difficiles que possible.
Outre les attaquants motivés financièrement, Eclypsium affirme que les acteurs étatiques pourraient également trouver les systèmes de séquençage de l’ADN attrayants car ils “sont essentiels à la détection des maladies génétiques, des cancers, à l’identification des bactéries résistantes aux médicaments et à la production de vaccins.”
En 2023, la Cybersecurity Infrastructure Security Agency (CISA) et la Food and Drug Administration (FDA) aux États-Unis ont publié un avis urgent sur deux vulnérabilités dans le Service de copie universel (UCS) d’Illumina qui est présent dans plusieurs produits utilisés par les établissements médicaux et laboratoires à travers le monde.
L’un des problèmes (CVE-2023-1968) a reçu le score de gravité maximal tandis que l’autre (CVE-2023-1966) avait un score de gravité élevé. Illumina a réagi à l’époque en fournissant des mises à jour et des instructions sur la façon d’atténuer les problèmes de sécurité.