美国生物技术公司Illumina的iSeq 100 DNA测序仪存在BIOS/UEFI漏洞，这可能导致攻击者禁用用于检测疾病和开发疫苗的设备。Illumina iSeq 100被宣传为医疗和研究实验室可使用的、能提供“快速且具成本效益的遗传分析”的DNA测序系统。

固件安全公司Eclypsium对Illumina设备中的BIOS固件进行了分析，发现该设备启动时没有标准的写入保护，这就容易遭受重写攻击，从而可能“使系统变砖”或者植入长期存在的恶意软件。

过时且易受攻击的BIOS

研究人员发现，iSeq 100运行的BIOS固件版本过时，此版本在兼容性支持模式（CSM）下运行以支持旧设备，并且没有采用安全启动技术进行保护。

漏洞情况

Eclypsium的分析找出了五个主要问题，这些问题致使九个漏洞被利用，这些漏洞的严重程度为高或中等，其中一个漏洞的出现甚至可以追溯到2017年。

除了缺乏BIOS写入保护之外，iSeq 100设备还容易受到LogoFAIL、Spectre 2和微架构数据采样（MDS）攻击。虽然在CSM模式下启动能够支持传统设备，但对于敏感设备，特别是新一代设备而言，这种方式是不被推荐的。

研究人员还发现，iSeq 100上存在风险的BIOS（B480AM12 - 2018年4月12日）未启用固件保护，这就允许对启动设备的代码进行修改。再加上缺乏安全启动（安全启动可检查启动代码的有效性和完整性），任何恶意更改都不会被发现。

潜在影响范围

在报告中，Eclypsium强调他们的分析仅针对iSeq 100测序仪设备，但类似问题可能也存在于其他医疗或工业设备中。

研究人员解释说，医疗设备制造商会借助外部供应商提供系统的计算能力。就iSeq 100而言，它依赖IEI Integration Corp的OEM主板。由于IEI Integration Corp开发多种工业计算机产品，并且是医疗设备的原始设计制造商（ODM），Eclypsium认为在使用IEI主板的其他医疗或工业设备中“很可能发现这些或类似的问题”。

攻击可能造成的危害

研究人员还指出，如果攻击者已经攻陷设备，就可以利用这些漏洞修改固件，这可能导致系统变砖；有足够知识的威胁行为者还能篡改测试结果。Eclypsium表示：“如果这些设备中的数据被植入/后门操纵，那么威胁行为者可能会操纵包括伪造遗传病状的存在或缺席、操纵医疗治疗或新疫苗、伪造祖先DNA研究等在内的广泛结果。

Eclypsium将iSeq 100设备中的BIOS问题告知了Illumina，生物技术公司回复已向受影响的客户发布补丁。
该公司发言人表示，Illumina正在遵循其“标准流程，若需要任何缓解措施，将会通知受影响的客户”。

Illumina的代表称：“我们最初的评估表明这些问题不是高风险。”Illumina还强调致力于产品的安全性和基因组数据的隐私，已建立监督和问责流程，包括产品开发和部署的安全最佳实践，并且一直在努力改进为现场仪器提供安全更新的方式。

在报告中，Eclypsium的研究人员警告，能够覆盖iSeq 100上固件的威胁行为者“可以轻松禁用设备”。勒索软件行为者可能会通过接管高价值系统来破坏业务，因为他们的目的是让受害者的恢复工作困难重重，从而迫使受害者支付赎金。除了出于经济利益的攻击者外，国家行为者也可能会对DNA测序系统感兴趣，因为这些系统“对于检测遗传病、癌症、识别耐药细菌以及疫苗的生产至关重要”。

2023年，美国网络安全基础设施安全局（CISA）和食品药品监督管理局（FDA）发布了关于Illumina的通用复制服务（UCS）中的两个漏洞的紧急咨询，这两个漏洞存在于全球医疗设施和实验室使用的多种产品中。其中一个问题（CVE - 2023 - 1968）的严重程度最高，另一个（CVE - 2023 - 1966）的严重程度较高。

参考来源：https://www.bleepingcomputer.com/news/security/bios-flaws-expose-iseq-dna-sequencers-to-bootkit-attacks/