#Illumina #LỗHổngBảoMật #DữLiệuBệnhNhân #AnNinhMạng #CôngNghệGiảiTrìnhTựDNA #CISA #FDA
Chính phủ Hoa Kỳ đã đưa ra cảnh báo về lỗ hổng phần mềm nghiêm trọng trong công nghệ giải trình tự DNA của công ty Illumina. Lỗ hổng này có thể bị tin tặc khai thác để sửa đổi hoặc đánh cắp dữ liệu y tế nhạy cảm của bệnh nhân. Các sản phẩm bị ảnh hưởng bao gồm iScan, iSeq, MiniSeq, MiSeq, MiSeqDx, NextSeq và NovaSeq của Illumina, được sử dụng trên toàn thế giới trong lĩnh vực chăm sóc sức khỏe.
Cơ quan an ninh mạng Hoa Kỳ CISA và Cục Quản lý Thực phẩm và Dược phẩm Hoa Kỳ đưa ra các lời khuyên riêng biệt để cảnh báo về lỗ hổng này, với xếp hạng mức độ nghiêm trọng từ 7.4 đến 10 trên 10. Lỗ hổng này có thể cho phép tin tặc truy cập từ xa vào thiết bị bị ảnh hưởng và tải lên và chạy mã độc từ xa.
Illumina cho biết họ đã phát hiện lỗ hổng này trong nỗ lực thường xuyên để đánh giá phần mềm của mình về các lỗ hổng tiềm ẩn và khả năng bị lộ. Tuy nhiên, họ cũng không nhận được bất kỳ báo cáo nào cho thấy lỗ hổng đã bị khai thác.
Tin tức về lỗ hổng Illumina xuất hiện sau khi Cục Quản lý Thực phẩm và Dược phẩm Hoa Kỳ đã thông báo về yêu cầu các nhà sản xuất đáp ứng các yêu cầu cụ thể về an ninh mạng khi gửi đơn đăng ký sản phẩm mới.
Nguồn: https://techcrunch.com/2023/04/28/illumina-dna-tech-fda-security-flaw/
Chính phủ Hoa Kỳ đã gióng lên hồi chuông cảnh báo về một lỗ hổng phần mềm quan trọng được tìm thấy trong các thiết bị giải trình tự DNA của công ty khổng lồ về gen Illumina, mà tin tặc có thể khai thác để sửa đổi hoặc đánh cắp dữ liệu y tế nhạy cảm của bệnh nhân.
Trong các lời khuyên riêng biệt được đưa ra vào thứ Năm, Cơ quan an ninh mạng Hoa Kỳ CISA và Cục Quản lý Thực phẩm và Dược phẩm Hoa Kỳ đã cảnh báo rằng lỗ hổng bảo mật — được theo dõi là CVE-2023-1968 với xếp hạng mức độ nghiêm trọng của lỗ hổng tối đa là 10 trên 10 — cho phép tin tặc truy cập từ xa vào một thiết bị bị ảnh hưởng qua internet mà không cần mật khẩu. Nếu bị khai thác, lỗi này có thể cho phép tin tặc xâm phạm thiết bị để tạo ra kết quả không chính xác hoặc bị thay đổi hoặc không có gì cả.
Các tư vấn cũng cảnh báo về lỗ hổng thứ hai, được theo dõi là CVE-2023-1966 với mức độ nghiêm trọng thấp hơn là 7,4 trên 10. Lỗi này có thể cho phép kẻ tấn công tải lên và chạy mã độc từ xa ở cấp hệ điều hành, cho phép chúng thay đổi cài đặt và truy cập dữ liệu nhạy cảm trên sản phẩm bị ảnh hưởng.
Các lỗ hổng ảnh hưởng đến các sản phẩm iScan, iSeq, MiniSeq, MiSeq, MiSeqDx, NextSeq và NovaSeq của Illumina. Những sản phẩm này, được sử dụng trên toàn thế giới trong lĩnh vực chăm sóc sức khỏe, được thiết kế để sử dụng chẩn đoán lâm sàng trong việc giải trình tự DNA của một người cho các tình trạng di truyền hoặc mục đích nghiên cứu khác nhau.
Người phát ngôn của Illumina David McAlpine nói với TechCrunch rằng Illumina “không nhận được bất kỳ báo cáo nào cho thấy lỗ hổng đã bị khai thác, chúng tôi cũng không có bất kỳ bằng chứng nào về bất kỳ lỗ hổng nào đang bị khai thác.” McAlpine từ chối cho biết liệu Illumina có phương tiện kỹ thuật để phát hiện việc khai thác hay không hoặc cho biết có bao nhiêu thiết bị dễ bị tấn công bởi các lỗ hổng.
Giám đốc điều hành Illumina Francis deSouza nói vào tháng 1, cơ sở được cài đặt của nó là hơn 22.000 trình tự sắp xếp.
TRONG một bài đăng trên LinkedInIllumina CTO Alex Aravanis nói rằng công ty đã phát hiện ra lỗ hổng bảo mật như một phần trong nỗ lực thường xuyên để đánh giá phần mềm của mình về các lỗ hổng tiềm ẩn và khả năng bị lộ.
Aravanis cho biết: “Khi xác định được lỗ hổng này, nhóm của chúng tôi đã làm việc chăm chỉ để phát triển các biện pháp giảm thiểu nhằm bảo vệ các công cụ và khách hàng của chúng tôi. “Sau đó, chúng tôi đã liên hệ và hợp tác chặt chẽ với các cơ quan quản lý và khách hàng để giải quyết vấn đề bằng một bản cập nhật phần mềm đơn giản miễn phí, hầu hết không cần thời gian chết.”
Tin tức về lỗ hổng Illumina xuất hiện sau khi FDA tháng trước đã thông báo rằng họ sẽ yêu cầu các nhà sản xuất thiết bị y tế đáp ứng các yêu cầu cụ thể về an ninh mạng khi gửi đơn đăng ký sản phẩm mới. Các nhà sản xuất thiết bị sẽ phải gửi một kế hoạch giải thích cách họ dự định theo dõi và giải quyết các lỗ hổng, đồng thời bao gồm một hóa đơn vật liệu phần mềm chi tiết mọi thành phần trong một thiết bị.
