Ελαττώματα BIOS απειλούν sequencers DNA iSeq με bootkit

Τα τρωτά σημεία του BIOS/UEFI στον προσδιοριστή αλληλουχίας DNA iSeq 100 από την αμερικανική εταιρεία βιοτεχνολογίας Illumina θα μπορούσαν να επιτρέψουν στους εισβολείς να απενεργοποιήσουν συσκευές που χρησιμοποιούνται για τον εντοπισμό ασθενειών και την ανάπτυξη εμβολίων.

Το Illumina iSeq 100 διαφημίζεται ως σύστημα προσδιορισμού αλληλουχίας DNA που μπορούν να χρησιμοποιήσουν τα ιατρικά και ερευνητικά εργαστήρια για την παροχή «ταχείας και οικονομικά αποδοτικής γενετικής ανάλυσης».

Η εταιρεία ασφάλειας υλικολογισμικού Eclypsium ανέλυσε το υλικολογισμικό του BIOS στη συσκευή της Illumina και ανακάλυψε ότι εκκινούσε χωρίς τις τυπικές προστασίες εγγραφής, αφήνοντάς το ανοιχτό σε αντικαταστάσεις που θα μπορούσαν να «εγκαταστήσουν» το σύστημα ή να τοποθετήσουν εμφυτεύματα για μακροχρόνια διατήρηση.

Παλιό και ευάλωτο BIOS

Οι ερευνητές διαπίστωσαν ότι το iSeq 100 εκτελούσε μια ξεπερασμένη έκδοση του υλικολογισμικού BIOS που έτρεχε σε λειτουργία υποστήριξης συμβατότητας (CSM) για την υποστήριξη παλαιότερων συσκευών και δεν προστατευόταν μέσω της τεχνολογίας Secure Boot.

Η ανάλυση του Eclypsium εντόπισε πέντε βασικά ζητήματα που επέτρεψαν την εκμετάλλευση εννέα τρωτών σημείων με βαθμολογίες υψηλής και μεσαίας σοβαρότητας, ένα τόσο παλιό όσο το 2017.

Εκτός από την έλλειψη προστασίας εγγραφής BIOS, η συσκευή iSeq 100 ήταν επίσης ευάλωτη σε επιθέσεις LogoFAIL, Spectre 2 και Microarchitectural Data Sampling (MDS).

Αν και η εκκίνηση σε λειτουργία CSM επιτρέπει την υποστήριξη συσκευών παλαιού τύπου, δεν συνιστάται για ευαίσθητες συσκευές, ειδικά εάν είναι νεότερης γενιάς.

Οι ερευνητές διαπίστωσαν ότι το ευάλωτο BIOS (B480AM12 – 04/12/2018) στο iSeq 100 δεν είχε ενεργοποιημένες προστασίες υλικολογισμικού, κάτι που επέτρεπε την τροποποίηση του κώδικα για την εκκίνηση της συσκευής.

Σε συνδυασμό με την έλλειψη ασφαλούς εκκίνησης, η οποία ελέγχει την εγκυρότητα και την ακεραιότητα του κώδικα εκκίνησης, οποιαδήποτε κακόβουλη αλλαγή θα παρέμενε απαρατήρητη.

Σε σημερινή αναφορά, υπογραμμίζει το Eclypsium ότι η ανάλυσή τους «η ανάλυση περιορίστηκε ειδικά στη συσκευή sequencer iSeq 100» και ότι παρόμοια ζητήματα ενδέχεται να υπάρχουν σε άλλες ιατρικές ή βιομηχανικές συσκευές.

Οι ερευνητές εξηγούν ότι οι κατασκευαστές ιατρικών συσκευών χρησιμοποιούν εξωτερικούς προμηθευτές για την υπολογιστική ισχύ του συστήματος. Στην περίπτωση του iSeq 100, η ​​συσκευή βασίζεται σε μια μητρική πλακέτα OEM από την IEI Integration Corp.

Δεδομένου ότι η IEI Integration Corp αναπτύσσει πολλαπλά βιομηχανικά προϊόντα υπολογιστών και είναι μια Κατασκευαστής Original Design Manufacturer (ODM) για ιατρικές συσκευέςτο Eclypsium λέει ότι «θα ήταν πολύ πιθανό αυτά ή παρόμοια ζητήματα να εντοπίζονται είτε σε άλλες ιατρικές ή βιομηχανικές συσκευές που χρησιμοποιούν μητρικές πλακέτες IEI.

Οι ερευνητές εξηγούν επίσης ότι ένας εισβολέας που έχει ήδη παραβιάσει μια συσκευή θα μπορούσε να εκμεταλλευτεί τα τρωτά σημεία για να τροποποιήσει το υλικολογισμικό είτε με τούβλα του συστήματος. Ένας παράγοντας απειλής με τις απαραίτητες γνώσεις θα μπορούσε επίσης να παραβιάσει τα αποτελέσματα των δοκιμών.

Η Eclypsium ενημέρωσε την Illumina για τα προβλήματα BIOS στις συσκευές iSeq 100 και η εταιρεία βιοτεχνολογίας τους ενημέρωσε ότι εξέδωσε μια ενημέρωση κώδικα σε πελάτες που επηρεάστηκαν.

Το BleepingComputer επικοινώνησε με την Illumina για ένα σχόλιο σχετικά με τη μέθοδο παράδοσης για την επιδιόρθωση και μια εκτίμηση του αριθμού των συστημάτων iSeq 100 που θα πρέπει να το λάβουν.

Ένας εκπρόσωπος της εταιρείας είπε ότι η Illumina ακολουθεί τις «τυποποιημένες διαδικασίες» της και θα ειδοποιήσει τους πελάτες που επηρεάζονται εάν απαιτηθούν οποιεσδήποτε μετριάσεις.

“Η αρχική μας αξιολόγηση δείχνει ότι αυτά τα ζητήματα δεν είναι υψηλού κινδύνου”, είπε ένας εκπρόσωπος της Illumina στο BleepingComputer.

«Η Illumina δεσμεύεται για την ασφάλεια των προϊόντων μας και το απόρρητο των γονιδιωματικών δεδομένων και έχουμε θεσπίσει διαδικασίες εποπτείας και λογοδοσίας, συμπεριλαμβανομένων των βέλτιστων πρακτικών ασφάλειας για την ανάπτυξη και την ανάπτυξη των προϊόντων μας.

«Στο πλαίσιο αυτής της δέσμευσης, εργαζόμαστε πάντα για να βελτιώσουμε τον τρόπο με τον οποίο παρέχουμε ενημερώσεις ασφαλείας για όργανα στο πεδίο», αναφέρει το υπόλοιπο της δήλωσης.

Στην έκθεσή τους, οι ερευνητές του Eclypsium προειδοποιούν ότι ένας παράγοντας απειλής που μπορεί να αντικαταστήσει το υλικολογισμικό στο iSeq 100 θα μπορούσε να «απενεργοποιήσει εύκολα τη συσκευή».

Η διατάραξη της επιχείρησης με την εξάλειψη συστημάτων υψηλής αξίας είναι ακριβώς αυτό που αναζητούν οι φορείς ransomware, καθώς στόχος τους είναι να καθορίσουν το θύμα να πληρώσει τα λύτρα κάνοντας τις προσπάθειες ανάκτησής του όσο το δυνατόν πιο δύσκολες.

Εκτός από τους επιτιθέμενους με οικονομικά κίνητρα, το Eclypsium λέει ότι οι κρατικοί φορείς θα μπορούσαν επίσης να βρουν ελκυστικά τα συστήματα αλληλουχίας DNA επειδή «είναι κρίσιμα για την ανίχνευση γενετικών ασθενειών, καρκίνων, τον εντοπισμό ανθεκτικών στα φάρμακα βακτηρίων και για την παραγωγή εμβολίων».

Το 2023, η Υπηρεσία Ασφάλειας Υποδομής Κυβερνοασφάλειας (CISA) και η Υπηρεσία Τροφίμων και Φαρμάκων (FDA) στις ΗΠΑ εξέδωσαν μια επείγουσα ειδοποίηση σχετικά με δύο ευπάθειες στην Universal Copy Service (UCS) της Illumina που υπάρχει σε πολλά προϊόντα που χρησιμοποιούνται από ιατρικές εγκαταστάσεις και εργαστήρια σε όλο τον κόσμο.

Ένα από τα θέματα (CVE-2023-1968) έλαβε τη μέγιστη βαθμολογία σοβαρότητας ενώ το άλλο (CVE-2023-1966) είχε υψηλή βαθμολογία σοβαρότητας. Illumina αντέδρασε τότε παρέχοντας ενημερώσεις και οδηγίες για τον μετριασμό των προβλημάτων ασφαλείας.