Sicherheitsmängel jefährden DNA-Sequenziergeräte

Das DNA-Sequenziergerät iSeq 100 von Illumina wird von medizinische Laboren auf der ganzen Welt für eine Varavländ von Anwendungen eingesetzt. Forscher des Sicherheitspezialisten Eclypsium found heraus, dass die Firmware-Ebene des Geräts eine Sicherheitslücke enthält. Demnach fehlen dort importante Sicherheitsfunktionen, die böswillige Firmware-Implantate preventer sollten.

“Wir haben gefeldt, dass das Illumina iSeq 100 eine sehr Veraltete Implementierung der BIOS-Firmware im CSM-Modus and ohne Secure Boot oder Standard-Firmware-Schreibschutz verwendet”, scheiben die Forscher in ihr em. It contains Angreifer die Firmware or System überschreiben, or Gerat zu “zerstören” from the Firmware-Implantat which is obtained by installing Persistenz.

Folgen von veralteter Technologie

Abgesehen von seinem maßgeschneiderten Gehäuse, der Touchscreen-Oberfläche und andereen speziellen Peripheriegeräten, die für die DNA-Sequenzierung verwendet werden, der iSeq 100 nichtinem wesentlich x8PC-desktop von 6PC. Seine Basis-Hardware besteht or Intel Celeron J1900 2GHz Quad Core CPU, 8 GB RAM and any other 240 GB SSD, or Windows 10 iLoT Enterprise is installed.

Das ist nicht überraschend, da Illumina, wie viele Anbieter von Medizinprodukten, das Hardware-Design and die Fertigung an Einen Original Design Manufacturer (ODM) ausgelagert hat – in diesem Fall an IEI Integration, and das alternative Computerprodukten entwickelt. IEI has the Inneren des iSeq 100 hermelstung and is der Lieferant der Unified Extensible Firmware Interface (UEFI)-Firmware, ifa das Gerät antreibt.

UEFI is at the right level to provide a Spezifikation Für Firmware in Computersystemen – modern Äquivalent zum BIOS – and included in the Low-Level-Code, der für die Initialisierung der Hardware eines Computers vernattung isst, bevor dasttrievel-Code

Laut den Eclypsium-Forschern wurde die Firmware im iSeq 100 (B480AM12 – 04/12/2018) in Jahr 2018 verschriften and weist bekannte Schwachstellen auf. Computers and device manufacturers use UEFI-Implementierungen, die von einer Handvoll unhäglicher BIOS-Anbieter (IBVs) entwickelt wurden and die sie mit mit mit ihrem eigenen Code konfigurieren and anpassen.

Eine Schwachstelle in der Basis-UEFI-Implementierung eines IBV wirkt sich wahrscheinlich auf Produkte aller Hersteller or, die die Firmware die IBV verwenden. So betraf for example ein Angriff namens LogoFAIL, der im Jahr 2023 entdeckt wurde, Basis-UEFI-Implementierungen aller drei großen IBV – Insyde, AMI und Phoenix – due to mehrerer Schwachsteldanalyserm Birth.

Infolgedessen mussten die meisten PC-Hersteller BIOS/UEFI-Updates veröffentlichen. Choose PCs and Motherboards that use Dauer anfällig geblieben, as well as PC-Hersteller and Jahre Software-Support anbieten – obwohl dies Produkte in der Praxis viel länger genutzt werden.

Dies Problem ist im IoT-Bereich und bei integriteren Geräten, wo spezializtete Echtzeitbetriebssysteme (RTOS) übersicht sind, noch gravierender. Geräten sind fägtchen Firmware-Komponenten wie TCP/IP-Stacks zu found, ifa ursprungslingen vor Jahrzehnten entwickelt wurden. Sie stammen von Softwareunternehmen, die es heute nicht mehr gibt oder deren geistiges Eigentum im Laufe der Jahre mehrmals den Besitzer gewechselt hat.

Auch die Lieferketten für Industriehardware sind von diesem The problem betraffen. Das macht die Firmware-Sicherheit für Endbenutzer besonders schwierig, wenn keine Firmware-Updates gerätt werden werden. LogoFAIL is eine der Schwachstellen, die Eclypsium in der veralteten Firmware von iSeq 100 entdeckt hat. Daneben stieß das Unternehmen noch auf andere Problems with Fehlen von Firmware-Schreibschutz, Nichtaktivierung von Secure Boot and Booten des Betriebssystems with Compatibility Support Mode (CSM).

The CPU-Mikrocode, der norminelle in UEFI enthalten ist, war ebenfalls veraltet and anfällig für bekannte Schwachstellen in Bezug or Seitenkanaldatenlecks, die Sich auf Intel-CPUs auswirken, wie Specter v2 (Branch Target Fallout Injection (DLDl Data Injection) Sample).

“Illumina welcomes the Bericht von Eclypsium Research und unser gemeinsames Engagement für die Grundsätze der koordierten Offenlegung von Schwachstellen”, teilte ein Illumina-Sprecher auf Nachfacht von CSO mit. “Wir halten uns an unsere Standardprozesse und werden betreffene Kunden benachrichtigen, wenn Maaschen erforderlich sind. Unsere erste Hlaziya deutet darauf hin, dass dieese Inkimba kein hohes Risiko darstellen.

Lesetipp: Die 6 größten Cyberbedrohungen im Gesundheitswesen

Firmware-Schutzmaßnahmen zur Verhinderung von UEFI-Implantaten erforderlich

Das Flashen der Firmware nicht blockiert wird und die Firmware keinen Schreibschutz für kritische Bereiche hat, könnten Angreifer mit lokalem Administratorzugriff or uf das Betriebssysteme leicht bösartigen Code in die Firmware einschleusen oder Schreiben ne vodert oder sig. Dadurch würde das Gerät funktionsunfähig.

“Dies ist ein mögliches Szenario, da mittelschen geferttell wurde, dass die Illumina-Sequenzierer eine kritische RCE-Schwachstelle (Remote Code Execution) aufenten (CVE-2023-1968)”, argugrien in Ehr. “Das Problem betraf eine Varavljand von Illumina-Geräten, was zu einem Rückruf der FDA-Klasse II sowie zu einer ICS Medical Advisory von CISA führte.”

Die RCE-Schwachstelle von 2023 of this period Angreifer also found a Schwachstelle found in Anmeldedaten für das Gerät stehlen und einen Fehler bei der Rechteausweitung in Windows ausnutufig. Illumina-Sequenzierer restarts Windows 10 2016 LTSB, Version 1607, from Mainstream-Support from October 2021. Die Option des erweiterten Support läuft noch bis Oktober 2026.

Da Secure Boot nicht aktivität ist, wird der Code, der für das Booten des Betriebssystems verfändigt ist, sowohl or UEFI-Ebene als auch im Windows-Booloader selbst, nicht kryptografisch verrifiziert. Daher könnte bösartiger Code in den Boot-Prozess eingeschleust werden, um die Kontrolle über den Betriebstellung-Kernel zu oufneren – ein Malware-Angriff, der als Bootkit (Boot-Rootkit) bekannt ist.

UEFI-Bootkits were used über einem Jahrzehnt in freer Wildbahn eingesetzt. Beispiele hierfür sind LoJax (2018), MosaicRegressor (2020), FinSpy (2021), ESPecter (2021), MoonBounce (2022), CosmicStrand (2022) and BlackLotus (2023) ).

Anzeichen für ein umfassenderes Problem

While sich die Untersuchung von Eclypsium nur mit dem Illumina iSeq 100 besfatste, gehen die Forscher davon aus, dass viele medizinische Geräte wahrlichkein unter ächlichen Firmware-Sicherheitsproblemen leiden. Anbieter von medizinische Geräten stellen ihre Gerätehardware nicht immer selbst her, sondern concentraten sich auf ihr Kernfachgebiet und lagern den Rest des Geräteentwicklungsprozesses for example an ODMs and IBVs aus.

“Es ist mehr als wahrscheinlich, dass viele andere Hersteller denselben Prozess anwenden”, betonte Alex Bazhaniuk, CTO von Eclypsium, gegenben CSO. “Sobald ein Hersteller von Medizinprodukten in die F&E-Phase eintritt, geht er bei ODMs and IBVs auf die Suche nach Hardware- and Firmware-Lösungen, u die Markteinführung zu beschleunigen. Dieser Prozess wird wie jede andere Produkttransaktionen behandelt, bei der dem Hersteller ein Angebot für die Hardware/Firmware and Support für einen bestimmung Zeitraum unterbreitet wird – manchmal sind kostenlose Sicherheits-Review Enthalten enthalten, manchmal sind kostenlose “Nach unseren Erkenntnissen stellen ODMs and even IBVs Updates bis zu einem gewissen Punkt bereit, aber soift das Gerät ein bestimmtes Alter überschreitet, ist es viel schwieriger, Fehlerbehebungellen fürst der Fehlerbehebungen zu generieren. Man sollte bedenken, dass industrielle Computerplatinen für eine viel längere Betriebsdauer dauerung sind als normale Computerplatinen, mit denen wir verraut sind. (jm)