In verschillende medische apparatuur die bij dna-onderzoek naar onder ander genetische aandoeningen en kanker wordt gebruikt zijn kritieke kwetsbaarheden gevonden waardoor het mogelijk is voor een aanvaller om de testresultaten van patiënten op afstand aan te passen, de apparaten over te nemen of informatie te stelen. Het gaat om de NextSeq 550Dx, MiSeqDx, NextSeq 500, NextSeq 550, MiSeq, iSeq en MiniSeq van fabrikant Illumina die wereldwijd worden gebruikt.
In de Local Run Manager (LRM)-software waarvan de apparaten gebruikmaken zijn vijf kwetsbaarheden gevonden. Zo is path traversal mogelijk waardoor een aanvaller bestanden buiten de bedoelde directories kan uploaden, wordt de software met onnodig hoge rechten uitgevoerd waardoor een aanvaller zijn code met systeemrechten kan uitvoeren, is het mogelijk om gevaarlijke bestandstypes te uploaden, wordt gevoelige data onversleuteld verstuurd en maakt de software standaard geen gebruik van authenticatie en autorisatie.
Een aanvaller kan hierdoor de apparaten op afstand overnemen, instellingen aanpassen, testresultaten van patiënten manipuleren of persoonlijke informatie stelen, zo waarschuwt de Amerikaanse Food and Drug Administration (FDA). De impact van drie van de vijf kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Illumina heeft beveiligingsupdates uitgebracht om de problemen te verhelpen. De FDA roept zorgverleners en laboratoria op om de patches meteen te installeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.