image

Lek in medische apparatuur maakt aanpassen testresultaten patiënten mogelijk

zondag 5 juni 2022, 11:06 door Redactie, 12 reacties

In verschillende medische apparatuur die bij dna-onderzoek naar onder ander genetische aandoeningen en kanker wordt gebruikt zijn kritieke kwetsbaarheden gevonden waardoor het mogelijk is voor een aanvaller om de testresultaten van patiënten op afstand aan te passen, de apparaten over te nemen of informatie te stelen. Het gaat om de NextSeq 550Dx, MiSeqDx, NextSeq 500, NextSeq 550, MiSeq, iSeq en MiniSeq van fabrikant Illumina die wereldwijd worden gebruikt.

In de Local Run Manager (LRM)-software waarvan de apparaten gebruikmaken zijn vijf kwetsbaarheden gevonden. Zo is path traversal mogelijk waardoor een aanvaller bestanden buiten de bedoelde directories kan uploaden, wordt de software met onnodig hoge rechten uitgevoerd waardoor een aanvaller zijn code met systeemrechten kan uitvoeren, is het mogelijk om gevaarlijke bestandstypes te uploaden, wordt gevoelige data onversleuteld verstuurd en maakt de software standaard geen gebruik van authenticatie en autorisatie.

Een aanvaller kan hierdoor de apparaten op afstand overnemen, instellingen aanpassen, testresultaten van patiënten manipuleren of persoonlijke informatie stelen, zo waarschuwt de Amerikaanse Food and Drug Administration (FDA). De impact van drie van de vijf kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Illumina heeft beveiligingsupdates uitgebracht om de problemen te verhelpen. De FDA roept zorgverleners en laboratoria op om de patches meteen te installeren.

Reacties (12)
05-06-2022, 12:57 door Anoniem
En ik roep op om dit soort apparatuur nooit rechtstreeks aan het internet te hangen.
05-06-2022, 14:15 door Anoniem
Leuk weer. Eerst het veld in schoppen en dan door een ander laten ontdekken dat het zo lek als een mandje is.
Fijn, die gezondheidszorg.
05-06-2022, 14:35 door Anoniem
Ik hoor de strafrecht advocaten al smullen over de betrouwbaarheid van DNA bewijs
05-06-2022, 17:31 door Anoniem
Door Anoniem: En ik roep op om dit soort apparatuur nooit rechtstreeks aan het internet te hangen.
Nergens voor nodig. Ook het intranet/interne netwerk biedt genoeg mogelijkheden. En bluetooth... Grote kans ook dat ook hierin versleuteling ontbreekt.
Fysieke aanwezigheid van hackpersoon en/of sniffing device in de buurt is al voldoende.

Het apparaat is overigens -zo te lezen- één grote backdoor. En nee, deze conclusie trek ik niet vanwege de naam van de fabrikant.
05-06-2022, 20:59 door Anoniem
Door Anoniem: Ik hoor de strafrecht advocaten al smullen over de betrouwbaarheid van DNA bewijs
Oh, geloof mij maar dat ze dat zeker zullen gaan doen.
06-06-2022, 07:04 door yangkuki - Bijgewerkt: 06-06-2022, 07:25
The best Local Run Manager software
06-06-2022, 08:08 door Anoniem
Door Anoniem: Leuk weer. Eerst het veld in schoppen en dan door een ander laten ontdekken dat het zo lek als een mandje is.
Fijn, die gezondheidszorg.

standaard werkwijze bij elk commercieel gemotiveerd bedrijf
06-06-2022, 09:05 door Anoniem
Door Anoniem:
Door Anoniem: En ik roep op om dit soort apparatuur nooit rechtstreeks aan het internet te hangen.
Nergens voor nodig. Ook het intranet/interne netwerk biedt genoeg mogelijkheden. En bluetooth... Grote kans ook dat ook hierin versleuteling ontbreekt.
Fysieke aanwezigheid van hackpersoon en/of sniffing device in de buurt is al voldoende.

Het apparaat is overigens -zo te lezen- één grote backdoor. En nee, deze conclusie trek ik niet vanwege de naam van de fabrikant.

Vaak hangen deze apparaten ook niet aan het internet, maar wat je zegt klopt... ze zijn vaak wel te benaderen via het interne netwerk.
Aanvallers die zorgen ervoor dat ze eerst een interne computer overnemen die wel via het internet verbonden is, via deze computer kunnen ze verder snuffelen op het interne netwerk.

Oftewel het advies is ook op je interne netwerk ervoor te zorgen dat alleen de computers die bij deze apparaten moeten komen hier netwerk technisch bij kunnen, de rest hoeft er niet bij dus netwerk technisch afsluiten.
06-06-2022, 10:57 door Anoniem
Door Anoniem:
Door Anoniem: Ik hoor de strafrecht advocaten al smullen over de betrouwbaarheid van DNA bewijs
Oh, geloof mij maar dat ze dat zeker zullen gaan doen.

Het gaat hier niet om apparatuur voor forensische DNA-profilering, maar uitsluitend om enkele medische toepassingen.
07-06-2022, 09:55 door Anoniem
Door Anoniem: En ik roep op om dit soort apparatuur nooit rechtstreeks aan het internet te hangen.
En ik ben het met je eens.
07-06-2022, 10:57 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Ik hoor de strafrecht advocaten al smullen over de betrouwbaarheid van DNA bewijs
Oh, geloof mij maar dat ze dat zeker zullen gaan doen.

Het gaat hier niet om apparatuur voor forensische DNA-profilering, maar uitsluitend om enkele medische toepassingen.
Nog iemand die onbekend is met strafrecht advocaten.
07-06-2022, 11:19 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Ik hoor de strafrecht advocaten al smullen over de betrouwbaarheid van DNA bewijs
Oh, geloof mij maar dat ze dat zeker zullen gaan doen.

Het gaat hier niet om apparatuur voor forensische DNA-profilering, maar uitsluitend om enkele medische toepassingen.

Worden de NextSeq 550Dx, MiSeqDx, NextSeq 500, NextSeq 550, MiSeq, iSeq en MiniSeq van fabrikant Illumina enkel gebruikt medische toepassingen? Of misschien ook voor voor forensische DNA-profilering? Als het laatste het geval is, dan hebben strafrechtadvocaten beet als het om betrouwbaarheid van DNA gaat.
En hoe staat het met andere fabrikanten van gelijksoortige apparatuur?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.