详细内容或原文请订阅后点击阅览
DNA 测序仪被发现运行古老的 BIOS,对临床研究构成风险
更新的设备使用六年前的固件,容易受到接管和破坏。阿根廷网络安全商店 Eclypsium 声称影响领先 DNA 测序设备的安全问题可能会导致关键临床研究中断。
来源:The Register _恶意软件更新 网络安全商店 Eclypsium 声称影响领先 DNA 测序设备的安全问题可能会导致关键临床研究中断。
更新由制造商 Illumina 开发的 iSeq 100 被拆解,发现正在运行不安全的 BIOS 实现,这使该设备容易受到恶意软件和勒索软件攻击,以及潜在的破坏。
研究人员 Alex Bazhaniuk 和 Mickey Shkatov 表示,iSeq 100 在兼容性支持模式下运行,这允许 UEFI 启动适合旧设备的旧 BIOS 固件。测序仪正在启动 2018 年的 BIOS 版本,已知该版本存在各种安全漏洞。
安全启动等功能没有运行,也没有任何固件保护来指定设备可以读写的位置。这意味着,攻击者一旦能够亲自或远程进入系统,就可以在不被发现的情况下修改固件。
安全启动“在过去十年中,BIOS/UEFI 安全状况发生了很大变化,”研究人员表示。“基于国家的攻击者和勒索软件运营商已经集体转向针对供应链中的固件以及已经投入使用的设备。
“作为回应,技术供应商……已经增加了一层又一层的保护措施,旨在确保这一关键代码的安全。尽管做出了这些努力,但固件攻击仍在继续增长。”
Eclypsium 尚未发现任何针对这些问题的已知漏洞,其专家坚称这些攻击并非牵强附会,并引用了 2023 年 FDA 二级召回事件,此前发现了影响 iSeq 100 和其他各种测序设备的关键远程代码执行漏洞。
关键远程代码执行漏洞话虽如此,他们还是热衷于强调针对 BIOS/UEFI 安全的重大攻击正变得越来越普遍。
Hacking Team 的 UEFI 漏洞 Lojax MosaicRegressor 其他许多值得注意的漏洞 The Register The Register