Die US-amerikanische Cyber-Sicherheitsbehörde CISA warnt vor Sicherheitslücken in der Software für die Geräte von Illumina. Diese werden weltweit eingesetzt und dienen etwa der DNS-Sequenzierung. Angreifer aus dem Netz können durch die teils kritischen Schwachstellen beliebigen Code auf die Geräte schleusen und ausführen und so die Kontrolle darüber übernehmen. Die CISA erläutert in einer Warnung, dass diese Schwachstellen es Angreifern möglich machten, beliebige Aktionen auf Betriebssystemebene durchzuführen. Sie könnten Einstellungen, Konfigurationen, Software oder Daten auf betroffenen Produkten manipulieren. Ebenfalls könnten sie über verwundbare Geräte im lokalen Netzwerk aktiv bleiben. Die Sicherheitslücken betreffen den Dienst Universal Copy Service (UCS) auf den betroffenen Produkten. Geräte mit der Version 2.x des Dienstes sind verwundbar, da dieser an eine unbeschränkte IP-Adresse bindet – sprich, er lauscht auf der Adresse 0.0.0.0 und erlaubt Zugriff von allen IP-Adressen. Die CISA schreibt, dass „ein nicht authentifizierter böswilliger Akteur UCS verwenden könnte, um alle IP-Adressen abzuhören, einschließlich derer, die in der Lage sind, Verbindungen aus dem Netz zu akzeptieren“ (CVE-2023-1968, CVSS 10.0, Risiko „kritisch“). Geräte mit UCS 1.x und 2.x nutzen zudem unnötig hohe Rechte im System. Nicht authentifizierte Angreifer können dadurch beliebigen Code hochladen und ausführen – auf Betriebssystemebene (CVE-2023-1966, CVSS 7.4, „hoch“). Geräte mit folgender Software sind verwundbar, weshalb Administratoren bei ihnen aktiv werden sollten:

  • iScan Control Software: v4.0.0 und v4.0.5
  • iSeq 100: Alle Versionen
  • MiniSeq Control Software: v2.0 und neuer
  • MiSeq Control Software: v4.0 (RUO Mode)
  • MiSeqDx Operating Software: v4.0.1 und neuer
  • NextSeq 500/550 Control Software: v4.0
  • NextSeq 550Dx Control Software: v4.0 (RUO Mode)
  • NextSeq 550Dx Operating Software: v1.0.0 bis 1.3.1
  • NextSeq 550Dx Operating Software: v1.3.3 und neuer
  • NextSeq 1000/2000 Control Software: v1.4.1 und ältere
  • NovaSeq 6000 Control Software: v1.7 und vorhergehende
  • NovaSeq Control Software: v1.8

Illumina stellt eine Anleitung bereit, die temporäre Gegenmaßnahmen und Software-Aktualisierungen für betroffene Produkte und Software auflistet. IT-Verantwortliche sollten es prüfen und diese Maßnahmen zügig umsetzen. Im August vergangenen Jahres hatte Illumina schon mal kritische Sicherheitslücken in den eigenen Geräten gemeldet.

Quelle: Heise