La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA, por sus siglas en inglés) ha publicado una advertencia de aviso médico de Sistemas de control industrial (ICS, por sus siglas en inglés) sobre una falla crítica que afecta a los dispositivos médicos de Illumina.

Los problemas afectan al software Universal Copy Service (UCS) en los instrumentos de secuenciación de ADN Illumina MiSeqDx, NextSeq 550Dx, iScan, iSeq 100, MiniSeq, MiSeq, NextSeq 500, NextSeq 550, NextSeq 1000/2000 y NovaSeq 6000.

La más grave de las fallas, CVE-2023-1968 (puntaje CVSS: 10.0), permite a los atacantes remotos vincularse a direcciones IP expuestas, lo que hace posible espiar el tráfico de la red y transmitir comandos arbitrarios de forma remota.

El segundo problema se relaciona con un caso de configuración incorrecta de privilegios (CVE-2023-1966, puntaje CVSS: 7.4) que podría permitir que un actor malicioso remoto no autenticado cargue y ejecute código con permisos elevados.
“La explotación exitosa de estas vulnerabilidades podría permitir a un atacante realizar cualquier acción a nivel del sistema operativo”, dijo CISA . “Un actor de amenazas podría afectar la configuración, el software o los datos del producto afectado; un actor de amenazas podría interactuar a través del producto afectado a través de una red conectada”.

La Administración de Alimentos y Medicamentos (FDA, por sus siglas en inglés) dijo que un usuario no autorizado podría usar la deficiencia como arma para impactar los “resultados de datos genómicos en los instrumentos destinados al diagnóstico clínico, lo que incluye hacer que los instrumentos no proporcionen resultados, resultados incorrectos, resultados alterados o una posible violación de datos”. .”

No hay evidencia de que las dos vulnerabilidades hayan sido explotadas en la naturaleza. Se recomienda a los usuarios que apliquen las correcciones publicadas el 5 de abril de 2023 para mitigar posibles amenazas.
Esta no es la primera vez que se descubren fallas graves en los dispositivos de secuenciación de ADN de Illumina. En junio de 2022, la empresa reveló varias vulnerabilidades similares de las que se podría haber abusado para tomar el control de los sistemas afectados.

La divulgación se produce casi un mes después de que la FDA emitiera una nueva guía que requerirá que los fabricantes de dispositivos médicos se adhieran a un conjunto de requisitos de seguridad cibernética al presentar una solicitud para un nuevo producto.

Esto incluye un plan para monitorear, identificar y abordar vulnerabilidades y exploits de seguridad cibernética “posteriores al mercado” dentro de un período de tiempo razonable, y diseñar y mantener procesos para garantizar la seguridad de dichos dispositivos a través de parches regulares y fuera de banda.
FUENTE:thehackernews