L'agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a publié cette semaine un avis pour mettre en garde contre des vulnérabilités critiques dans les appareils d'analyse génétique Illumina, qui pourraient permettre à un attaquant distant et non authentifié de prendre le contrôle d'un produit affecté.

Les failles affectent le Local Run Manager (LRM) d'Illumina, qui est utilisé par les appareils de séquençage conçus pour le diagnostic clinique dans le séquençage de l'ADN d'une personne, le dépistage de diverses conditions génétiques, ainsi que la recherche.

Les vulnérabilités les plus graves ont reçu un score CVSS de 10, et ont été répertoriées sous les noms de CVE-2022-1517, CVE-2022-1518 et CVE-2022-1519. Elles permettent respectivement l'exécution de code à distance au niveau du système d'exploitation, le téléchargement de données en dehors de la structure de répertoire prévue et le téléchargement de fichiers arbitraires.

Le quatrième problème critique - CVE-2022-1521, score CVSS de 9.1 - peut permettre à un attaquant d'injecter, d'intercepter ou d'altérer des données sensibles.

Le dernier problème, nommé CVE-2022-1524 (score CVSS de 7,4), est dû à l'absence de chiffrement TLS dans les versions 2.4 et inférieures de LRM, ce qui permet à un acteur malveillant de réaliser une attaque de type "man-in-the-middle" et d'accéder à des données sensibles en transit.

"L'exploitation réussie de ces vulnérabilités peut permettre à un acteur malveillant non authentifié de prendre le contrôle du produit affecté à distance et d'entreprendre toute action au niveau du système d'exploitation. Un attaquant pourrait avoir un impact sur les paramètres, les configurations, les logiciels ou les données du produit affecté et interagir par le biais du produit affecté avec le réseau connecté", note le CISA.

Les problèmes touchent les appareils de diagnostic in vitro (IVD) d'Illumina (NextSeq 550Dx et MiSeq Dx) et les instruments à usage exclusif des chercheurs (NextSeq 500, NextSeq 550, MiSeq Instrument, iSeq 100 et MiniSeq Instrument) qui utilisent différentes versions de LRM.

Illumina a publié des mises à jour pour empêcher l'exploitation à distance de ces bogues et travaille à la livraison de correctifs complets pour ces derniers.