Illumina测序仪再次爆出安全漏洞，可能导致结果篡改、泄露

美国时间2023年4月27日，Illumina还有一件事情需要跟大家聊聊。

截至发稿时，国内并没有任何自媒体平台提及（经查，确有其他同仁抢先，但没我深度，狗头），但是广大Illumina用户有必要知道一下。

漏洞再现

2023年4月27日，美国联邦食品药品管理局（FDA）发布公开信，警告健康管理机构Illumina的通用拷贝服务软件可能导致患者检测和客户网络风险。

这个翻译比较拗口，说人话就是Illumina的一款名为Universal Copy Services（UCS）的软件存在漏洞。

而这，已经不是Illumina第一次发生如此高等级的软件安全漏洞事件了。

2022年6月15日，循因缉药公众号独家披露了Illumina测序仪LRM（Local Run Manager,本地运行管理器）漏洞的全面解析。

感兴趣的朋友可以点击图片了解，顺便看看当年还稚嫩的语言组织能力。

漏洞细节

美国国土安全部下属网络安全和基础设施安全局 (CISA)发布了工业控制系统医疗设备公告(Industrial Controls Systems Medical Advisory，ICSMA)。

CVSS v3（Common Vulnerability Scoring System Calculator，通用漏洞评分计算系统）评分 10分，严重（最高级别）。

受影响软件和版本：

• iScan Control Software: v4.0.0

• iScan Control Software: v4.0.5

• iSeq 100: All versions

• MiniSeq Control Software: v2.0 and newer

• MiSeq Control Software: v4.0 (RUO Mode)

• MiSeqDx Operating Software: v4.0.1 and newer

• NextSeq 500/550 Control Software: v4.0

• NextSeq 550Dx Control Software: v4.0 (RUO Mode)

• NextSeq 550Dx Operating Software: v1.0.0 to 1.3.1

• NextSeq 550Dx Operating Software: v1.3.3 and newer

• NextSeq 1000/2000 Control Software: v1.7 and prior

• NovaSeq 6000 Control Software: v1.7 and prior

• NovaSeq Control Software: v1.8

也就是说不仅仅测序系统除了最新的NovaSeq X全线陷落，包括iSeq、MiniSeq、MiSeq（含Dx）、NextSeq 500/550（含Dx）、NextSeq 1000/2000、NovaSeq 6000。

连芯片系统的iScan也难逃厄运，一并受到了影响。

主要危害：

第一，远程控制系统；

第二，修改设备控制电脑的设置、软件或数据甚至客户的网络；

第三，修改基因测序数据，可能导致设备无法出具结果、错误的结果、修改的结果甚至数据泄露。

缓解措施

请立即访问Illumina提供的推荐指南网站（注3），并且根据FDA的说法Illumina提供了补丁来解决这个问题，虽然我没找到。

（本来想提供更详细点的信息，方便大家使用，结果Illumina让我登录，呵呵）

想学习学习，都不给机会啊，谢谢Illumina。

另外，Instruction除了英文外，包含多语种，包括日语、阿拉伯语等，不包括汉语、韩语。

不过，这难不倒咱们，欢迎各位及时联系Illumina技术支持，顺便电话费让报销下（狗头）。

根据我们自己技术小组推测，应该是UCS的服务在安装时采用的管理员账户，因此漏洞被利用后将取得操作系统权限，进而造成了测序仪控制电脑的失控。

NovaSeq 6000的示例可以通过注4的链接获取，当然更推荐联系Illumina官方，这里仅为预防措施，预防下总不会错。

小知识：UCS是个啥

以NovaSeq 6000为例，Illumina的测序仪机载软件包含三个部分：

NovaSeq Control Software（NVCS）：这是一个引导软件，帮助用户正确的上样（包含部分设置）和加载试剂耗材，并且在运行的时候提供统计数据。

Real-Time Analysis（RTA）：核心组件，提供图像识别和base calling。

Universal Copy Services（UCS）：将RTA和NVCS输出的数据和log复制到输出文件夹中，可以是本地也可以是远程。

根据描述，UCS表现形式是Windows或Linux操作系统中的一个服务。

最后

根据FDA信息，本次漏洞由Illumina于2023年4月5日发现并报告。

目前，FDA和Illumina并未受到该漏洞被利用的报告。

我们的建议与CISA类似，那就是：

• 第一，核心生产设施不要接入外网；

• 第二，企业必须接入防火墙；

• 第三，如果需要远程操作，建议使用安全的VPN，并对VPN的安全性定期评估。

同时，由于并不清楚Illumina是否与NMPA进行了相应的沟通，建议由Illumina官方尽快通知所有用户进行处理。

最后，我们建议其他测序仪厂商，比如华大智造、真迈等市场保有量较高的厂商开展自查，并及时与客户同步信息。

注1：https://www.fda.gov/medical-devices/letters-health-care-providers/illumina-cybersecurity-vulnerability-affecting-universal-copy-service-software-may-present-risks注2：https://www.cisa.gov/news-events/ics-medical-advisories/icsma-23-117-01注3：：https://support.illumina.com/downloads/illumina-universal-copy-service-1-0.html注4：https://knowledge.illumina.com/instrumentation/instrument-administration/instrumentation-instrument-administration-reference_material-list/000007852

声明：本文来自循因缉药，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。