.
Atualizado A loja de segurança cibernética Eclypsium afirma que problemas de segurança que afetam os principais dispositivos de sequenciamento de DNA podem levar a interrupções em pesquisas clínicas cruciais.
O iSeq 100, desenvolvido pelo fabricante Illumina, foi demolido e rodava uma implementação de BIOS insegura que expunha o dispositivo a ataques de malware e ransomware, bem como possíveis bloqueios.
Os pesquisadores Alex Bazhaniuk e Mickey Shkatov disseram que o iSeq 100 estava rodando no modo de suporte de compatibilidade, que permite que o UEFI inicialize firmware de BIOS mais antigo, adequado para dispositivos mais antigos. O sequenciador estava inicializando com uma versão do BIOS de 2018 conhecida por ter várias vulnerabilidades de segurança.
Recursos como inicialização segura não estavam em execução, nem havia proteções de firmware para especificar os locais onde os dispositivos poderiam ler e gravar. Isso significa que os invasores, uma vez que consigam entrar no sistema, pessoalmente ou remotamente, poderão modificar o firmware sem serem detectados.
“Na última década, o estado do cenário de segurança BIOS/UEFI mudou consideravelmente”, disseram os pesquisadores. “Atacantes estatais e operadores de ransomware se concentraram em massa para atingir firmware tanto na cadeia de fornecimento quanto em dispositivos já em campo.
“Em resposta, os fornecedores de tecnologia… adicionaram camadas e mais camadas de proteções destinadas a manter este código crítico seguro. Apesar desses esforços, os ataques de firmware continuaram a crescer.”
Não há nenhuma exploração conhecida desses problemas pelo Eclypsium, cujos especialistas insistem que os ataques não são rebuscados, citando um recall Classe II da FDA de 2023 após a descoberta de um bug crítico de execução remota de código que afeta o iSeq 100 e vários outros dispositivos de sequenciamento .
Dito isto, eles fizeram questão de enfatizar que grandes ataques contra a segurança BIOS/UEFI estão se tornando cada vez mais comuns.
Os pesquisadores apontaram as explorações UEFI do Hacking Team e os implantes Lojax e MosaicRegressor como exemplos aqui, entre muitos outros dignos de nota nos últimos anos.
“Em todos esses exemplos, os invasores visaram o firmware como uma forma de garantir que seu código malicioso pudesse ser executado abaixo do nível do sistema operacional, ao mesmo tempo que estabelecia persistência contínua fora das unidades de armazenamento do dispositivo físico”, disseram eles.
As consequências de uma aquisição bem-sucedida de um dispositivo e da subsequente alteração do firmware podem perturbar gravemente pesquisas cruciais sobre doenças genéticas, câncer, vacinas e muito mais.
Bazhaniuk e Shkatov também disseram que os ataques a esses dispositivos, que não apenas interromperiam a pesquisa, mas provavelmente exigiriam “esforço considerável” para restaurar o funcionamento do dispositivo, poderiam “aumentar significativamente os riscos no contexto de um ataque de ransomware”, especialmente se um ataque hostil estado estava envolvido.
Um pesquisador de DNA O Registro conversou dizendo que dependendo da universidade ou instituto, a maioria dos cientistas que usam sequenciadores de DNA no Ocidente teria mais de um dos dispositivos no laboratório, embora talvez todos do mesmo fabricante.
O dispositivo em questão foi fabricado pela Illumina, e os pesquisadores observaram que ele funcionava em uma placa-mãe fabricada pela IEI Integration Corp, com sede em Taiwan.
Dado que a empresa projeta uma ampla gama de equipamentos usados em dispositivos médicos, eles disseram que é provável que muitos outros dispositivos além dos da Illumina sejam vulneráveis aos mesmos problemas de BIOS.
O Registro contatou a Illumina e o IEI para obter uma resposta à pesquisa, mas nenhum deles respondeu no momento da publicação.
No entanto, a Eclypsium observou que a Illumina, com sede na Califórnia, informou os clientes sobre os problemas de segurança e emitiu uma correção para eles aplicarem. ®
Atualizado para adicionar às 16h18 UTC, 8 de janeiro
Um porta-voz da Illumina nos enviou a seguinte declaração:
.
