易坊好文馆

  1. 首页 > 奇闻 >

illumina安全漏洞被美国两大监管部门警示 曾多次召回产品

科学家 网络安全 illumina 安全漏洞


illumina安全漏洞被美国两大监管部门警示 曾多次召回产品


文章图片


illumina安全漏洞被美国两大监管部门警示 曾多次召回产品


文章图片


illumina安全漏洞被美国两大监管部门警示 曾多次召回产品


文章图片


近日 , 彭博社发文《FDA警告DNA测序仪可能被黑客入侵》 , 文章援引美国食品药品监督管理局(FDA)的公开信 , 称illumina的多款测序仪存在网络安全漏洞 , 可能允许未经授权的用户远程控制系统并更改设置或数据 。

与此同时 , 美国国土安全部网络安全与基础设施安全局(CISA)在6月2日发布的公告中 , 详细陈述了 illumina Local Run Manager(LRM)系统的多个安全漏洞 , 并提醒用户在部署防御措施之前进行适当的风险评估 。
作为基因测序领域的霸主 , illumina突然被美国两大政府机构爆出重大安全隐患 , 并予以警示 , 引发了美国媒体的广泛关注 。 公告显示 , illumina已经发布了一个补丁来防止远程利用这些漏洞 , 同时正在开发一个永久的补救措施 。 发布补丁只能解决当务之急 , 这些安全隐患背后隐藏的产品问题 , 更值得illumina警醒与反思 。
CVSSv3评分10.0 illuminaLRM系统存在严重安全漏洞
据了解 , 早在今年5月 , illumina就向用户发出过紧急产品通告:经检测已经发现NextSe500 NextSeq550 , MiSeq , iSeq100 , MiniSeq测序系统Local Run Manager(LRM)以及脱离测序系统安装的LRM软件存在网络安全隐患 , 并告知用户已经开发了软件补丁 , 以防止潜在隐患的发生 。
一个月后 , FDA与CISA再度关注此事 , 并发出警告 。 这说明illumina的数据安全隐患虽然此前已经被发现并开发了补丁 , 但是安全隐患并没有得到解决 , 且愈发严重 , 已经引起美国政府相关部门的重视 。
FDA在其公开信中通告了illumina的NextSeq 550Dx the MiSeqDx the NextSeq 500 NextSeq 550 MiSeq iSeq和MiniSeq等测序仪的软件存在缺陷 , 并进一步指出这个缺陷会影响Local Run Manager(LRM) , 导致未经授权的用户:
1.获得测序仪的远程控制权;
2.修改测序仪或者客户网络中的配置、配置、软件或者数据;
【illumina安全漏洞被美国两大监管部门警示 曾多次召回产品】3.影响测序仪的结果 , 包括修改或者损坏测序仪的临床诊断结果 , 或提供伪造结果 。

CISA更是指出:Illumina本地运行管理器(LRM)存在严重安全漏洞 , 该漏洞的CVSSv3评分为10.0 。 CVSS全称为Common Vulnerability Scoring System , 即“通用漏洞评分系统” , 是一个全球公开的标准 , 被用来评测漏洞的严重程度 , 并帮助确定所需反应的紧急度和重要度 。 CVSS得分基于一系列维度上的测量结果 , 漏洞的最终得分最大为10 , 最小为0 , 得分7~10的漏洞通常被认为比较严重 , 得分在4~6.9之间的是中级漏洞 , 0~3.9的则是低级漏洞 。
同时 , CISA还对这一漏洞进行了风险评估:成功利用这些漏洞可能允许未经身份验证的恶意行为者远程控制产品 , 并在操作系统采取行动 , 进而影响到产品的设置、配置、软件或数据 , 并进行网络交互 。

可见 , illumina本地运行管理器(LRM)系统漏洞的严重程度已经达到最高级别 , 安全风险非常高 , 这也是为什么FDA与CISA会同时发出警告 。
全球范围内多次召回测序仪 质量问题或成难言之隐
数据显示:目前illumina占据基因测序仪全球市场份额高达83.9% 。 截止2021年底 , illumina测序仪全球累计装机量超过两万台 。 然而 , 其业务在全球各地高歌猛进的同时 , 产品却屡次被爆出问题 , 除上文中提到的系统安全漏洞 , illumina还多次因质量问题召回产品 。
2022年3月 , illumina在官网发布公告 , 主动召回基因测序仪 NextSeqTM 550Dx Instrument 。 本次召回涉及的国家比较多 , 除中国之外 , 还有美国、英国、澳大利亚、奥地利、比利时、丹麦、芬兰、法国、德国、匈牙利、爱尔兰、意大利、拉脱维亚、荷兰、挪威、波兰、罗马尼亚、斯洛伐克、西班牙、瑞典、瑞士、智利、日本、俄罗斯、沙特阿拉伯等国家 , 共计召回621台 , 其中仅中国就有152台 , 召回级别为二级 。

如此大规模的、全球范围内的召回 , 在IVD行业实属罕见 。 而此次召回的原因是 , 调查发现特定型号批次产品因维修时断开过的主印刷电路板组件(MPCA)和成像模块(IM)之间的扁平电缆在极小可能情况下有可能发生接触不良 , 可能在维修时或之后短暂时间内在仪器机壳内部发生短路问题 , 对维修工程师可能存在安全风险 。 虽然illumina表示安全风险只有极小的可能 , 但是此次召回级别已达到了二级 , 其严重程度可见一斑 。

推荐阅读


上一篇:平平无奇,每年伤人上万的蛇类你认识吗?它又为何如此危险呢?

下一篇:刚果盆地深处还有活的恐龙吗?