Universal Copy Service 是全球医学实验室用于 DNA 测序的软件套件,它存在两个高危漏洞,可能允许威胁行为者完全接管目标端口并泄露敏感数据。
美国网络安全基础设施安全局 (CISA) 和 FDA 的联合安全咨询已敦促用户尽快修补该软件。
“未经身份验证的恶意行为者可以在操作系统级别远程上传和执行代码,这可能允许攻击者更改设置、配置、软件或访问受影响产品上的敏感数据,”CISA 的警告中写道。
Universal Copy Service 由一家名为 Illumina 的加利福尼亚医疗技术公司开发,是世界上最受欢迎的 DNA 测序工具之一。该出版物称,140 个国家的研究组织、学术机构、生物技术公司和制药公司经常使用该程序。
FDA 补充说:“2023 年 4 月 5 日,Illumina 向受影响的客户发送了通知,指示他们检查他们的仪器和医疗设备是否有可能利用该漏洞的迹象。”
根据报告,这两个漏洞被标注为 CVE-2023-1968 和 CVE-2023-1966。前者是一个 10/10 的“严重”漏洞,它允许威胁行为者监听所有网络流量,从而在网络上找到更多易受攻击的主机。研究人员说,黑客可以使用它向软件发送命令、调整设置,甚至访问敏感数据。另一方面,后者是一个 7.4/10 的“高”严重性漏洞,允许 UCS 用户以提升的权限运行命令。
由于这些漏洞影响多种 Illumina 产品,因此存在不同的缓解措施集,具体取决于相关软件。 Illumina 建议执行不同的操作,从更新系统软件到配置 UCS 帐户凭证,再到关闭可能被滥用的特定防火墙端口。