CISA Peringatkan Cacat Kritis Perangkat Lunak yang Berdampak pada Medis 

Cyberthreat.id - The U.S. Cybersecurity and Infrastructure Security Agency (CISA) telah merilis peringatan penasihat medis Industrial Control Systems (ICS) tentang cacat kritis yang berdampak pada perangkat medis Illumina.

Masalah tersebut memengaruhi perangkat lunak Universal Copy Service (UCS) di Illumina MiSeqDx, NextSeq 550Dx, iScan, iSeq 100, MiniSeq, MiSeq, NextSeq 500, NextSeq 550, NextSeq 1000/2000, dan instrumen pengurutan DNA NovaSeq 6000.

The Hacker News menguraikan cacat yang paling parah, CVE-2023-1968 (skor CVSS: 10.0), memungkinkan penyerang jarak jauh untuk mengikat alamat IP yang terbuka, sehingga memungkinkan untuk menguping lalu lintas jaringan dan mengirimkan perintah sewenang-wenang dari jarak jauh.

Masalah kedua berkaitan dengan kasus kesalahan konfigurasi hak istimewa (CVE-2023-1966, skor CVSS: 7.4) yang dapat memungkinkan aktor jahat yang tidak diautentikasi dari jarak jauh untuk mengunggah dan mengeksekusi kode dengan izin yang lebih tinggi.

"Eksploitasi yang berhasil atas kerentanan ini memungkinkan penyerang mengambil tindakan apa pun di tingkat sistem operasi," kata CISA sebagaimana dikutip The Hacker News.

"Aktor ancaman dapat memengaruhi pengaturan, konfigurasi, perangkat lunak, atau data pada produk yang terpengaruh; aktor ancaman dapat berinteraksi melalui produk yang terpengaruh melalui jaringan yang terhubung."

The Food and Drug Administration (FDA) mengatakan pengguna yang tidak sah dapat mempersenjatai kekurangan tersebut untuk memengaruhi "hasil data genom dalam instrumen yang ditujukan untuk diagnosis klinis, termasuk menyebabkan instrumen tidak memberikan hasil, hasil yang salah, hasil yang diubah, atau potensi pelanggaran data ."

Tidak ada bukti bahwa kedua kerentanan tersebut telah dieksploitasi secara liar. Pengguna disarankan untuk menerapkan perbaikan yang dirilis pada 5 April 2023 untuk mengurangi potensi ancaman.

Ini bukan pertama kalinya kelemahan parah terungkap dalam Perangkat Pengurutan DNA Illumina. Pada Juni 2022, perusahaan mengungkapkan beberapa kerentanan serupa yang dapat disalahgunakan untuk menguasai sistem yang terpengaruh.

Pengungkapan tersebut terjadi hampir sebulan setelah FDA mengeluarkan panduan baru yang akan mewajibkan pembuat perangkat medis untuk mematuhi serangkaian persyaratan keamanan siber saat mengajukan aplikasi untuk produk baru.

Ini termasuk rencana untuk memantau, mengidentifikasi, dan mengatasi kerentanan dan eksploitasi keamanan siber "pascapasar" dalam jangka waktu yang wajar, serta merancang dan memelihara proses untuk memastikan keamanan perangkat tersebut melalui tambalan reguler dan out-of-band.[]