Falla de seguridad crítica en la tecnología de secuenciación de ADN de Illumina expone datos de pacientes
El gobierno de EE. UU. ha hecho sonar la alarma sobre una vulnerabilidad de software crítica encontrada en los dispositivos de secuenciación de ADN del gigante de la genómica Illumina, que los piratas informáticos pueden explotar para alterar o robar datos médicos confidenciales de los pacientes.
En avisos separados publicados el jueves, Agencia de Ciberseguridad de EE. UU. CISA y el Administración de Drogas y Alimentos de EE. UU. advirtió que la falla de seguridad, identificada como CVE-2023-1968 con una calificación máxima de gravedad de vulnerabilidad de 10 sobre 10, permite a los piratas informáticos acceder de forma remota a un dispositivo afectado a través de Internet sin necesidad de una contraseña. Si se explota, el error podría permitir que los piratas informáticos comprometan los dispositivos para producir resultados incorrectos o corruptos, o ninguno en absoluto.
Los avisos también advierten sobre una segunda vulnerabilidad, identificada como CVE-2023-1966 con una calificación de gravedad más baja de 7.4 de 10. El error podría permitir a los atacantes descargar y ejecutar de forma remota código malicioso en el sistema operativo, permitiéndoles cambiar el ajustes. y acceder a datos confidenciales sobre el producto en cuestión.
Las vulnerabilidades afectan a los productos iScan, iSeq, MiniSeq, MiSeq, MiSeqDx, NextSeq y NovaSeq de Illumina. Estos productos, utilizados en todo el mundo en la industria de la salud, están diseñados para uso de diagnóstico clínico en la secuenciación del ADN de una persona para diversas afecciones genéticas o con fines de investigación.
El portavoz de Illumina, David McAlpine, dijo a TechCrunch que Illumina «no ha recibido ningún informe de ningún exploit explotado, y no tenemos evidencia de ningún exploit». McAlpine se negó a decir si Illumina tiene los medios técnicos para detectar el exploit o decir cuántos dispositivos son vulnerables a las fallas.
Francis de Souza, CEO de Illumina ha dicho en enero que su base instalada superaba los 22.000 secuenciadores.
Dentro una publicación de LinkedInEl CTO de Illumina, Alex Aravanis, dijo que la compañía descubrió la vulnerabilidad como parte de los esfuerzos de rutina para evaluar su software en busca de vulnerabilidades y exposiciones potenciales.
“Después de identificar esta vulnerabilidad, nuestro equipo trabajó diligentemente para desarrollar mitigaciones para proteger nuestros instrumentos y clientes”, dijo Aravanis. «Luego nos contactamos y trabajamos en estrecha colaboración con los reguladores y los clientes para resolver el problema con una simple actualización de software gratuita, que requiere poco o ningún tiempo de inactividad en su mayor parte».
La noticia de la vulnerabilidad de Illumina llega después de la FDA mes pasado anunció que exigiría a los fabricantes de dispositivos médicos que cumplieran requisitos específicos de ciberseguridad al presentar una solicitud para un nuevo producto. Los fabricantes de dispositivos deberán presentar un plan que explique cómo planean rastrear y abordar las vulnerabilidades, e incluir una lista de materiales de software que detalle cada componente de un dispositivo.