La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis et la Food and Drug Administration (FDA) ont publié un avis sur les vulnérabilités de sécurité critiques du logiciel de séquençage de nouvelle génération (NGS) d’Illumina. Trois des failles sont notées 10 sur 10 pour la gravité sur le système CVSS (Common Vulnerability Scoring System), et deux autres ont des cotes de gravité de 9,1 et 7,4. Selon la FDA, les problèmes ont un impact sur les logiciels des dispositifs médicaux utilisés à des fins de « diagnostic clinique pour le séquençage de l’ADN d’une personne ou le test de diverses conditions génétiques, ou à des fins de recherche uniquement ». « L’exploitation réussie de ces vulnérabilités peut permettre à un acteur malveillant non authentifié de prendre le contrôle du produit concerné à distance et de prendre toute mesure au niveau du système d’exploitation », a déclaré la CISA dans une alerte. « Un attaquant pourrait avoir un impact sur les paramètres, les configurations, les logiciels ou les données du produit concerné et interagir via le produit concerné avec le réseau connecté. » Les appareils et instruments concernés incluent NextSeq 550Dx, MiSeq Dx, NextSeq 500, NextSeq 550, MiSeq, iSeq 100 et MiniSeq utilisant les versions 1.3 à 3.1 du logiciel Local Run Manager (LRM).

La liste des défauts est la suivante –

– CVE-2022-1517 (score CVSS : 10,0) – Une vulnérabilité d’exécution de code à distance au niveau du système d’exploitation qui pourrait permettre à un attaquant de falsifier les paramètres et d’accéder à des données ou des API sensibles.

CVE-2022-1518 (score CVSS : 10,0) – Une vulnérabilité de traversée de répertoire qui pourrait permettre à un attaquant de télécharger des fichiers malveillants vers des emplacements arbitraires.

CVE-2022-1519 (score CVSS : 10,0) – Un problème avec le téléchargement illimité de tout type de fichier, permettant à un attaquant d’exécuter du code arbitraire.

CVE-2022-1521 (score CVSS : 9,1) – Un manque d’authentification dans LRM par défaut, permettant à un attaquant d’injecter, de modifier ou d’accéder à des données sensibles.

CVE-2022-1524 (score CVSS : 7,4) – Un manque de cryptage TLS pour les versions 2.4 et inférieures de LRM qui pourrait être utilisé abusivement par un attaquant pour organiser une attaque de type « man-in-the-middle » (MitM) et accéder aux informations d’identification.

En plus de permettre le contrôle à distance des instruments, les défauts pourraient être militarisés pour compromettre les tests cliniques des patients, entraînant des résultats incorrects ou altérés lors du diagnostic. Bien qu’il n’y ait aucune preuve que les failles soient exploitées dans la nature, il est recommandé aux clients d’appliquer le correctif logiciel publié par Illumina le mois dernier pour atténuer tout risque potentiel.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *