Die US-Regierung hat Alarm geschlagen wegen einer kritischen Software-Schwachstelle in den DNA-Sequenzierungsgeräten des Genomik-Riesen Illumina, die Hacker ausnutzen können, um sensible medizinische Daten von Patienten zu ändern oder zu stehlen.

In separaten am Donnerstag veröffentlichten Hinweisen heißt es: US-Cybersicherheitsbehörde CISA und das US-amerikanische Lebensmittel- und Arzneimittelbehörde warnte davor, dass die Sicherheitslücke – verfolgt als CVE-2023-1968 mit dem maximalen Schweregrad der Sicherheitslücke von 10 von 10 – Hackern den Fernzugriff auf ein betroffenes Gerät über das Internet ermöglicht, ohne dass ein Passwort erforderlich ist. Wenn der Fehler ausgenutzt wird, könnte er es Hackern ermöglichen, Geräte zu kompromittieren, um falsche oder veränderte oder gar keine Ergebnisse zu liefern.

Die Hinweise warnen auch vor einer zweiten Schwachstelle, die als CVE-2023-1966 mit einem niedrigeren Schweregrad von 7,4 von 10 eingestuft wird. Der Fehler könnte es Angreifern ermöglichen, aus der Ferne bösartigen Code auf Betriebssystemebene hochzuladen und auszuführen und so Einstellungen zu ändern und auf sensible Daten des betroffenen Produkts zugreifen.

Die Schwachstellen betreffen die Produkte iScan, iSeq, MiniSeq, MiSeq, MiSeqDx, NextSeq und NovaSeq von Illumina. Diese weltweit im Gesundheitswesen eingesetzten Produkte sind für die klinische Diagnostik bei der Sequenzierung der DNA einer Person für verschiedene genetische Erkrankungen oder für Forschungszwecke konzipiert.

Illumina-Sprecher David McAlpine sagte gegenüber TechCrunch, dass Illumina „keine Berichte erhalten hat, die darauf hinweisen, dass eine Sicherheitslücke ausgenutzt wurde, und wir haben auch keine Beweise dafür, dass Sicherheitslücken ausgenutzt wurden.“ McAlpine lehnte es ab, zu sagen, ob Illumina über die technischen Mittel verfügt, um Ausnutzung zu erkennen, oder zu sagen, wie viele Geräte für die Schwachstellen anfällig sind.

Francis deSouza, CEO von Illumina genannt im Januar, dass die installierte Basis mehr als 22.000 Sequenzer umfasste.

In ein LinkedIn-BeitragAlex Aravanis, CTO von Illumina, sagte, dass das Unternehmen die Schwachstelle im Rahmen routinemäßiger Bemühungen zur Bewertung seiner Software auf potenzielle Schwachstellen und Gefährdungen entdeckt habe.

„Nachdem wir diese Schwachstelle identifiziert hatten, arbeitete unser Team fleißig daran, Abhilfemaßnahmen zum Schutz unserer Instrumente und Kunden zu entwickeln“, sagte Aravanis. „Wir haben dann Kontakt mit Regulierungsbehörden und Kunden aufgenommen und eng mit ihnen zusammengearbeitet, um das Problem mit einem einfachen, kostenlosen Software-Update zu beheben, das in den meisten Fällen kaum oder gar keine Ausfallzeiten erfordert.“

Die Nachricht von der Illumina-Schwachstelle kommt erst nach der FDA Im vergangenen Monat kündigte an, dass Hersteller medizinischer Geräte bei der Einreichung eines Antrags für ein neues Produkt bestimmte Cybersicherheitsanforderungen erfüllen müssen. Gerätehersteller müssen einen Plan vorlegen, in dem erläutert wird, wie sie Schwachstellen verfolgen und beheben wollen, und eine Software-Stückliste beifügen, in der alle Komponenten eines Geräts detailliert aufgeführt sind.