La Cybersecurity Infrastructure Security Agency (CISA) des États-Unis et la FDA ont émis une alerte urgente concernant deux vulnérabilités qui affectent le service de copie universel (UCS) d’Illumina, utilisé pour le séquençage de l’ADN dans les installations médicales et les laboratoires du monde entier.

« Un acteur malveillant non authentifié pourrait télécharger et exécuter du code à distance au niveau du système d’exploitation, ce qui pourrait permettre à un attaquant de modifier les paramètres, les configurations, les logiciels ou d’accéder à des données sensibles sur le produit concerné », prévient un avis CISA publié hier.

Illumina est une société de technologie médicale basée en Californie qui développe et fabrique des machines avancées de bioanalyse et de séquençage d’ADN. Les dispositifs de la société sont l’un des plus largement utilisés pour le séquençage de l’ADN dans les milieux cliniques, les organismes de recherche, les établissements universitaires, les entreprises de biotechnologie et les sociétés pharmaceutiques dans 140 pays.

« Le 5 avril 2023, Illumina a envoyé des notifications aux clients concernés leur demandant de vérifier leurs instruments et dispositifs médicaux pour détecter des signes d’exploitation potentielle de la vulnérabilité », lit-on dans un avis de la FDA.

« Certains de ces instruments ont un mode de démarrage double qui permet à un utilisateur de les faire fonctionner en mode de diagnostic clinique ou en mode RUO. Les appareils destinés à RUO sont généralement en phase de développement et doivent être étiquetés « Pour la recherche uniquement. Ne pas utiliser dans procédures de diagnostic. – bien que certains laboratoires puissent les utiliser avec des tests à des fins de diagnostic clinique. »

La première vulnérabilité est identifiée comme CVE-2023-1968 (score CVSS v3 : 10,0, « critique »). Il permet aux attaquants distants de se lier aux adresses IP exposées, permettant à un attaquant non authentifié d’écouter tout le trafic réseau pour trouver d’autres hôtes vulnérables sur un réseau.

L’impact potentiel de cette faille comprend l’envoi de commandes au logiciel impacté, la modification des paramètres et l’accès potentiel aux données.

La deuxième faille est CVE-2023-1966 (score CVSS v3 : 7,4, « élevé »), qui est une mauvaise configuration de sécurité permettant aux utilisateurs d’UCS d’exécuter des commandes avec des privilèges élevés.

Les défauts affectent les produits Illumina suivants :

  • Logiciel de contrôle iScan : v4.0.0
  • Logiciel de contrôle iScan : v4.0.5
  • iSeq 100 : toutes les versions
  • Logiciel de contrôle MiniSeq : v2.0 et plus récent
  • Logiciel de contrôle MiSeq : v4.0 (mode RUO)
  • Logiciel d’exploitation MiSeqDx : v4.0.1 et plus récent
  • Logiciel de contrôle NextSeq 500/550 : v4.0
  • Logiciel de contrôle NextSeq 550Dx : v4.0 (mode RUO)
  • Logiciel d’exploitation NextSeq 550Dx : v1.0.0 à 1.3.1
  • Logiciel d’exploitation NextSeq 550Dx : v1.3.3 et plus récent
  • Logiciel de contrôle NextSeq 1000/2000 : v1.7 et versions antérieures
  • Logiciel de contrôle NovaSeq 6000 : v1.7 et versions antérieures
  • Logiciel de contrôle NovaSeq : v1.8

Les vulnérabilités n’affectent pas les versions logicielles non spécifiées dans la liste ci-dessus et, par conséquent, aucune action ne doit être entreprise.

L’action recommandée dépend du produit et de la configuration spécifique du système, et Illumina a publié un bulletin qui conseille sur les étapes à suivre dans chaque cas.

La mesure recommandée implique souvent la mise à jour du logiciel système à l’aide du programme d’installation spécifique au produit, la configuration des informations d’identification du compte UCS et la fermeture des ports du pare-feu.

CISA recommande également aux utilisateurs de dispositifs médicaux de minimiser autant que possible l’exposition des systèmes de contrôle à Internet, en utilisant des pare-feu pour les isoler du réseau plus large et en utilisant des VPN lorsqu’un accès à distance est nécessaire.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *