网络安全公司 Eclypsium 表示，影响领先DNA测序设备 iSeq 100的安全问题可破坏重要的临床研究工作。

iSeq 100由 IIIumina 公司开发，研究人员发现它运行一个不安全的BIOS 实现，导致它易受恶意软件和勒索软件攻击，还可能无法运行。

研究人员提到，iSeq 100 以兼容性支持模式运行，可导致UEFI 启动老旧的适用于更老旧设备的BIOS固件。该测序设备运行的BIOS版本自2018年起就包含多种安全漏洞。

“安全启动”等特性并未运行，也不存在任何固件保护措施为设备指定客读写的位置。这意味着攻击者一旦能够在系统站稳脚跟，无论在本地还是远程，都可以修改该固件而不会被检测到。

研究人员提到，“在过去的十年中，BIOS/UEFI的安全状况已发生巨大改变。国家黑客和勒索团伙大量跳转，攻击供应链中和本地设备中的固件。为此，技术厂商已增加防护层保护关键代码的安全。尽管如此，固件攻击一直持续增长。”

研究人员表示，并未发现任何相关利用，不过他们认为攻击并非遥不可及，并援引2023年美国食品药品监督管理局 (FDA) 二级召回令为例，提到当时就是因为发现了iSeq 100和其它多种测序设备中存在严重的远程代码执行漏洞才发布召回令。他们强调称，针对BIOS/UEFI安全的大规模攻击活动正在变得越来越常见。研究人员提到近年来就发生多起类似事件，如 Hacking Team 发动的 UEFI 利用活动、Lojax 和 MosaicRegressor 植入等。

研究人员提到，“在这些案例中，攻击者攻击固件以确保其恶意代码能够在低于操作系统的层运行，同时在屋里设备存储驱动之外建立可持久性。”

成功的设备接管和后续的固件修改后果可严重破坏对基因疾病、癌症、疫苗等的关键研究。研究人员还提到，对这些设备的攻击不仅将破坏研究工作，还可能要“花费巨大精力”才能让设备恢复正常，从而“极大地提高勒索攻击上下文的风险”，尤其是在牵涉敌对势力的情况下。

一名DNA研究员提到，根据大学或机构的不同，西方多数使用DNA测序设备的科学家在实验室会拥有一台以上的设备，尽管可能这些设备全部来自同一家厂商。本案例中的设备由 IIIumina 公司制造，研究人员表示它在由台湾地区IEI Integration Corp 公司制造的母版上运行。鉴于该公司设计了大量用于医疗设备的设施，他们表示除了 IIIumnina 之外的很多其它设备可能也受同样的BIOS问题影响。

IEI 公司目前未就此事做出回应。Eclypsium 公司提到，IIIumina 公司已将这些安全问题告知客户并发布相关修复方案。该公司的一名发言人邮件回复称，“IIIumina 公司感谢 Eclypsium Research 团队提交的报告并遵守协同漏洞披露原则。我们正在按照标准流程行事，并将缓解措施（如有）及时告知受影响客户。最初评估表明这些问题并不具备高风险特点。IIIumina 公司致力于保护产品和基因组数据的安全，我们已经设立监督和责任流程，包括开发和部署产品的最佳安全实践。我们一如既往地改进为该领域所用设备交付安全更新的方式。”

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~