In verschillende medische apparatuur die bij dna-onderzoek naar onder ander genetische aandoeningen en kanker wordt gebruikt is een kritieke kwetsbaarheid gevonden waardoor het mogelijk is voor een aanvaller om de instellingen, configuraties, software en testresultaten op afstand aan te passen. Het gaat om verschillende producten die van de Universal Copy Service van fabrikant Illumina gebruikmaken en wereldwijd in gebruik zijn, zo waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security.
De kritieke kwetsbaarheid, aangeduid als CVE-2023-1968, zorgt ervoor dat de apparaten verkeer van elk ip-adres accepteren. Een ongeauthenticeerde aanvaller kan zo ook met de poorten communiceren die remote communicatie mogelijk maken, zonder dat er enige authenticatie is vereist. Voorwaarde is wel dat de aanvaller op hetzelfde netwerk als de apparatuur zit. De impact van dit beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0.
Daarnaast is er een tweede kwetsbaarheid (CVE-2023-1966) die ervoor zorgt dat code onnodig met verhoogde rechten wordt uitgevoerd. Hierdoor kan een ongeauthenticeerde aanvaller op afstand code uploaden en uitvoeren met de rechten van het besturingssysteem, om zo allerlei instellingen of configuraties te wijzigen of toegang tot gevoelige data op het apparaat te krijgen. Deze kwetsbaarheid heeft een impactscore van 7.4. Illumina heeft voor sommige producten updates uitgebracht en adviseert bij andere producten het instellen van het UCS-accountwachtwoord.
Deze posting is gelocked. Reageren is niet meer mogelijk.