El gobierno de EE. UU. ha hecho sonar la alarma sobre una vulnerabilidad de software crítica encontrada en los dispositivos de secuenciación de ADN del gigante de la genómica Illumina, que los piratas informáticos pueden explotar para modificar o robar datos médicos confidenciales de los pacientes.
En avisos separados publicados el jueves, la agencia de seguridad cibernética de EE. UU. CISA y la Administración de Drogas y Alimentos de EE. UU. advirtieron que la falla de seguridad, rastreada como CVE-2023-1968 con la calificación máxima de gravedad de vulnerabilidad de 10 de 10, permite a los piratas informáticos acceder de forma remota a un afectado. dispositivo a través de Internet sin necesidad de una contraseña. Si se explota, el error podría permitir que los piratas informáticos comprometan los dispositivos para producir resultados incorrectos o alterados, o ninguno en absoluto.
Los avisos también advierten sobre una segunda vulnerabilidad, rastreada como CVE-2023-1966 con una calificación de gravedad más baja de 7.4 de 10. El error podría permitir a los atacantes cargar y ejecutar de forma remota código malicioso a nivel del sistema operativo, permitiéndoles alterar la configuración. y acceder a datos confidenciales sobre el producto afectado.
Las vulnerabilidades afectan a los productos iScan, iSeq, MiniSeq, MiSeq, MiSeqDx, NextSeq y NovaSeq de Illumina. Estos productos, utilizados en todo el mundo en el sector de la salud, están diseñados para su uso en diagnóstico clínico en la secuenciación del ADN de una persona para diversas afecciones genéticas o fines de investigación.
El portavoz de Illumina, David McAlpine, dijo a TechCrunch que Illumina «no ha recibido ningún informe que indique que se ha explotado una vulnerabilidad, ni tenemos ninguna evidencia de que se haya explotado ninguna vulnerabilidad». McAlpine se negó a decir si Illumina tiene los medios técnicos para detectar la explotación, o decir cuántos dispositivos son vulnerables a las fallas.
El CEO de Illumina, Francis deSouza, dijo en enero que su base instalada era de más de 22.000 secuenciadores.
En una publicación de LinkedIn, el CTO de Illumina, Alex Aravanis, dijo que la compañía descubrió la vulnerabilidad como parte de los esfuerzos de rutina para evaluar su software en busca de posibles vulnerabilidades y exposiciones.
“Al identificar esta vulnerabilidad, nuestro equipo trabajó diligentemente para desarrollar mitigaciones para proteger nuestros instrumentos y clientes”, dijo Aravanis. “Luego nos contactamos y trabajamos en estrecha colaboración con los reguladores y los clientes para abordar el problema con una simple actualización de software sin costo, que requiere poco o ningún tiempo de inactividad para la mayoría”.
La noticia de la vulnerabilidad de Illumina se produce después de que la FDA anunciara el mes pasado que exigirá a los fabricantes de dispositivos médicos que cumplan requisitos específicos de ciberseguridad al presentar una solicitud para un nuevo producto. Los fabricantes de dispositivos deberán presentar un plan que explique cómo planean rastrear y abordar las vulnerabilidades, e incluir una lista de materiales de software que detalle cada componente en un dispositivo.