iIlumina基因定序儀出現可洩密、竄改資料的軟體漏洞

美國網路安全暨基礎架構安全管理署（CISA）本周警告，基因定序大廠illumina的基因定序儀器軟體有安全漏洞，可造成駭客竊取、或竄改檢驗結果等重大安全疑慮。

CISA安全公告包含2項漏洞資訊，皆影響Illumina的基因定序儀軟體Universal Copy Service（UCS）。第一個是CVE-2023-1968，可造成分析儀連向不受限制的IP位址，讓未經授權的攻擊者利用UCS竊聽所有IP位址，包括能用於攔截遠端通訊的憑證資訊。這項漏洞風險值達10.0。

第二項漏洞CVE-2023-1966，則是UCS包含不必要的權限，讓未經授權的攻擊者遠端上傳與遠端在作業系統層執行程式碼，使其能遠端接管儀器，或變更儀器的設定、配置、軟體或存取敏感資料。本漏洞風險值為7.4。

CVE-2023-1968影響UCS軟體v2.x版，CVE-2023-1966則影響v1x和v2.x版。

美國食品藥物管理署（FDA）也警告，成功濫用這二項漏洞可能造成臨床診斷結果遭到刪除、變更或外洩。有多項Illumina的基因定序儀器使用UCS軟體，包括MiSeqDx、NextSeq 550Dx、iScan、iSeq 100、MiniSeq、MiSeq、NextSeq 500、NextSeq 550、NextSeq 1000/2000、和NovaSeq 6000。

漏洞是由illumina通報，該公司表示目前沒有證據顯示漏洞已被濫用。illumina已於4月初釋出更新軟體，呼籲使用問題軟體的用戶下載安裝。若暫時無法安裝更新，CISA建議用戶減少所有系統的網路曝險，並找出防火牆後的遠端裝置，將其與公司網路隔離。