UEFI漏洞影响Illumina iSeq 100 DNA测序仪：医疗设备开发的安全隐患

关键要点

• Eclypsium安全研究人员在Illumina iSeq 100 DNA测序仪中发现UEFI漏洞，这反映出医疗设备行业整体的安全状况堪忧。
• iSeq 100的固件缺少必要的安全防护措施，存在多个安全漏洞，可能导致设备被恶意攻击。
• 由于医疗设备通常从ODM和IBV外包硬件和固件开发，许多其他医疗设备也可能面临相似的安全问题。
• 缺乏固件更新和保护措施，加剧了医疗设备的安全风险。

Eclypsium的安全研究人员近期发现，Illumina iSeq 100DNA测序仪存在UEFI漏洞。这些漏洞不仅揭示了该设备的安全隐患，还突显了医疗设备行业在硬件和固件开发过程中可能存在的广泛问题，尤其是当这些开发工作经常外包给制造商时，合同支持的可靠性也引起质疑。

Illumina的iSeq100紧凑型DNA测序仪被全球医务实验室广泛应用于多种用途。在对该设备进行调查时，Eclypsium的研究人员发现固件层面存在漏洞，以及缺少设计用于防止恶意固件植入的重要安全功能。

“我们发现Illumina iSeq 100使用了非常过时的BIOS固件实施，采用CSM模式，并且没有启用安全启动或标准的固件写保护，”研究人员在一份中写道。“这允许在系统上攻击者覆盖系统固件，从而使设备‘砖化’或安装固件植入以实现持续攻击。”

然而，典型的此类设备的开发过程，意味着许多其他医疗设备也可能面临相似的风险。这些问题往往出现在物联网和嵌入式设备领域，不仅限于医疗设备。

标准x86电脑与常见旧技术问题

除了其定制外壳、触摸屏界面和用于DNA测序的其他定制外设外，iSeq 100与典型的x86桌面PC差别不大。其基本硬件由Intel CeleronJ1900 2GHz四核CPU、8GB RAM及240GB SSD组成，运行Windows 10 IoT企业版。

这并不奇怪，因为Illumina和许多医疗设备供应商一样，将硬件设计和制造外包给了原始设计制造商（ODM），在此次中是IEI集成，该公司开发了多种工业和医疗计算机产品。IEI负责制造iSeq100内部的主板，并提供驱动设备的统一可扩展固件接口（UEFI）固件。

UEFI是计算机系统固件的标准化规范，相当于现代BIOS，包含负责初始化计算机硬件的低级代码，然后加载硬盘上安装的操作系统。

根据Eclypsium研究人员的说法，iSeq 100内的固件（B480AM12 – 04/12/2018）于2018年发布，并已知存在多个漏洞。计算机和设备制造商使用由少数独立BIOS供应商（IBV）开发的UEFI实施，然后用自己的代码进行配置和定制。

来自IBV的基础UEFI实施中的漏洞很可能会影响使用该IBV固件的所有制造商的产品。例如，在2023年发现的，影响了所有三家主要IBV（Insyde、AMI和Phoenix）基础UEFI实施，原因是它们在图像解析代码中存在多个漏洞。

因此，大多数PC制造商不得不发布BIOS/UEFI更新，但许多老旧PC和主板由于PC制造商只提供几年的软件支持，导致这些产品在现实世界中仍然面临持续的安全风险。

在物联网和嵌入式设备领域，这一问题尤其严重，这里通常采用专门的实时操作系统（RTOS）。这些设备中经常发现的固件组件[如TCP/IP协议栈](https://www.csoonline.com/article/571129/serious- flaws