In medische apparatuur die gebruikt wordt bij DNA-onderzoek naar onder ander genetische aandoeningen en kanker, zijn kritieke beveiligingslekken ontdekt. Kwaadwillen kunnen hierdoor testresultaten van patiƫnten op afstand wijzigen.
Ook is het mogelijk de apparaten over te nemen en om informatie te ontvreemden. Hiervoor heeft de Amerikaanse Food and Drug Administration (FDA) recentelijk gewaarschuwd.
Illumina
Het betreft NextSeq 550Dx, MiSeqDx, NextSeq 500, NextSeq 550, MiSeq, iSeq en MiniSeq van Illumina. Deze apparatuur wordt wereldwijd gebruikt. De Local Run Manager (LRM)-software waar de apparaten gebruik van maken, bevatten vijf beveiligingslekken.
Vijf kwetsbaarheden
De eerste is path traversal: hierdoor kan een aanvaller bestanden buiten de bedoelde directories uploaden. De tweede kwetsbaarheid is dat de software met onnodig hoge rechten wordt uitgevoerd. Een hacker kan daardoor zijn code met systeemrechten uitvoeren. Verder is het mogelijk om gevaarlijke bestandstypes te uploaden. De vierde kwetsbaarheid wordt veroorzaakt doordat gevoelige data onversleuteld wordt verzonden. Ook maakt de software standaard geen gebruik van authenticatie en autorisatie.
Beveiligingsupdates
De impact van drie van de vijf beveiligingslekken is beoordeeld met 10.0 (op een schaal van 1 tot en met 10). Illumina heeft patches uitgebracht om de problemen te verhelpen. De FDA roept zorgverleners en laboratoria op om deze beveiligingsupdates onmiddellijk te installeren.
Klik hier voor het bericht van de FDA.