美國生物技術公司Illumina的iSeq 100 DNA測序儀存在BIOS/UEFI漏洞，這可能導致攻擊者禁用用于檢測疾病和開發疫苗的設備。Illumina iSeq 100被宣傳為醫療和研究實驗室可使用的、能提供“快速且具成本效益的遺傳分析”的DNA測序系統。

固件安全公司Eclypsium對Illumina設備中的BIOS固件進行了分析，發現該設備啟動時沒有標準的寫入保護，這就容易遭受重寫攻擊，從而可能“使系統變磚”或者植入長期存在的惡意軟件。

過時且易受攻擊的BIOS

研究人員發現，iSeq 100運行的BIOS固件版本過時，此版本在兼容性支持模式（CSM）下運行以支持舊設備，并且沒有采用安全啟動技術進行保護。

1. 漏洞情況

Eclypsium的分析找出了五個主要問題，這些問題致使九個漏洞被利用，這些漏洞的嚴重程度為高或中等，其中一個漏洞的出現甚至可以追溯到2017年。

除了缺乏BIOS寫入保護之外，iSeq 100設備還容易受到LogoFAIL、Spectre 2和微架構數據采樣（MDS）攻擊。雖然在CSM模式下啟動能夠支持傳統設備，但對于敏感設備，特別是新一代設備而言，這種方式是不被推薦的。

研究人員還發現，iSeq 100上存在風險的BIOS（B480AM12 - 2018年4月12日）未啟用固件保護，這就允許對啟動設備的代碼進行修改。再加上缺乏安全啟動（安全啟動可檢查啟動代碼的有效性和完整性），任何惡意更改都不會被發現。

2. 潛在影響范圍

在報告中，Eclypsium強調他們的分析僅針對iSeq 100測序儀設備，但類似問題可能也存在于其他醫療或工業設備中。

研究人員解釋說，醫療設備制造商會借助外部供應商提供系統的計算能力。就iSeq 100而言，它依賴IEI Integration Corp的OEM主板。由于IEI Integration Corp開發多種工業計算機產品，并且是醫療設備的原始設計制造商（ODM），Eclypsium認為在使用IEI主板的其他醫療或工業設備中“很可能發現這些或類似的問題”。

攻擊可能造成的危害

研究人員還指出，如果攻擊者已經攻陷設備，就可以利用這些漏洞修改固件，這可能導致系統變磚；有足夠知識的威脅行為者還能篡改測試結果。Eclypsium表示：“如果這些設備中的數據被植入/后門操縱，那么威脅行為者可能會操縱包括偽造遺傳病狀的存在或缺席、操縱醫療治療或新疫苗、偽造祖先DNA研究等在內的廣泛結果。

Eclypsium將iSeq 100設備中的BIOS問題告知了Illumina，生物技術公司回復已向受影響的客戶發布補丁。該公司發言人表示，Illumina正在遵循其“標準流程，若需要任何緩解措施，將會通知受影響的客戶”。

Illumina的代表稱：“我們最初的評估表明這些問題不是高風險。”Illumina還強調致力于產品的安全性和基因組數據的隱私，已建立監督和問責流程，包括產品開發和部署的安全最佳實踐，并且一直在努力改進為現場儀器提供安全更新的方式。

在報告中，Eclypsium的研究人員警告，能夠覆蓋iSeq 100上固件的威脅行為者“可以輕松禁用設備”。勒索軟件行為者可能會通過接管高價值系統來破壞業務，因為他們的目的是讓受害者的恢復工作困難重重，從而迫使受害者支付贖金。除了出于經濟利益的攻擊者外，國家行為者也可能會對DNA測序系統感興趣，因為這些系統“對于檢測遺傳病、癌癥、識別耐藥細菌以及疫苗的生產至關重要”。

2023年，美國網絡安全基礎設施安全局（CISA）和食品藥品監督管理局（FDA）發布了關于Illumina的通用復制服務（UCS）中的兩個漏洞的緊急咨詢，這兩個漏洞存在于全球醫療設施和實驗室使用的多種產品中。其中一個問題（CVE - 2023 - 1968）的嚴重程度最高，另一個（CVE - 2023 - 1966）的嚴重程度較高。

參考來源：https://www.bleepingcomputer.com/news/security/bios-flaws-expose-iseq-dna-sequencers-to-bootkit-attacks/