Les chercheurs en sécurité d’Eclypsium ont découvert des vulnérabilités UEFI dans le séquenceur d’ADN Illumina iSeq 100, mais le problème plus large concerne le processus de développement de l’appareil dans son ensemble.
En mettant en évidence les vulnérabilités d’un dispositif de séquençage de gènes d’ADN largement utilisé, les chercheurs en sécurité ont attiré davantage l’attention sur le mauvais état probable de la sécurité dans l’industrie des dispositifs médicaux, où le développement du matériel et des micrologiciels est souvent sous-traité à des fabricants d’équipements externes dans le cadre de contrats de support douteux.
L’appareil, le séquenceur d’ADN compact iSeq 100 d’Illumina, est utilisé par les laboratoires médicaux du monde entier pour un large éventail d’applications. Lors de leur enquête sur l’appareil, les chercheurs de la société de sécurité de la chaîne d’approvisionnement Eclypsium ont découvert des vulnérabilités au niveau du micrologiciel, ainsi que des fonctionnalités de sécurité manquantes clés conçues pour empêcher les implantations malveillantes de micrologiciels.
« Nous avons constaté que l’Illumina iSeq 100 utilisait une implémentation très obsolète du micrologiciel du BIOS utilisant le mode CSM et sans démarrage sécurisé ni protections en écriture du micrologiciel standard », ont écrit les chercheurs dans un rapport. « Cela permettrait à un attaquant sur le système d’écraser le micrologiciel du système pour « briquer » l’appareil ou d’installer un implant de micrologiciel pour la persistance continue de l’attaquant. »
Mais la nature du processus de développement typique de ces dispositifs suggère que de nombreux autres dispositifs médicaux peuvent être exposés à des problèmes identiques ou similaires – des problèmes qui surviennent souvent dans l’espace de l’IoT et des dispositifs embarqués, médicaux ou autres.
Un ordinateur x86 typique — avec des problèmes techniques hérités typiques
Mis à part son boîtier personnalisé, son interface à écran tactile et d’autres périphériques personnalisés utilisés pour le séquençage de l’ADN, l’iSeq 100 n’est pas très différent d’un ordinateur de bureau x86 typique. Son matériel de base se compose d’un processeur Quad Core Intel Celeron J1900 2 GHz, de 8 Go de RAM et de 240 Go de SSD exécutant Windows 10 loT Enterprise.
Cela n’est pas surprenant étant donné qu’Illumina, comme de nombreux fournisseurs de dispositifs médicaux, a sous-traité la conception et la fabrication du matériel à un fabricant de conception originale (ODM) – en l’occurrence IEI Integration, qui développe une large gamme de produits informatiques industriels et médicaux. IEI a fabriqué la carte mère à l’intérieur de l’iSeq 100 et est le fournisseur du micrologiciel UEFI (Unified Extensible Firmware Interface) qui alimente l’appareil.
UEFI est une spécification standardisée pour le micrologiciel des systèmes informatiques – l’équivalent moderne du BIOS – et inclut le code de bas niveau responsable de l’initialisation du matériel d’un ordinateur avant de charger le système d’exploitation installé sur le disque dur.
Selon les chercheurs d’Eclypsium, le firmware de l’iSeq 100 (B480AM12 – 12/04/2018) a été publié en 2018 et présente des vulnérabilités connues. Les fabricants d’ordinateurs et d’appareils utilisent des implémentations UEFI développées par une poignée de fournisseurs de BIOS indépendants (IBV) qu’ils configurent et personnalisent ensuite avec leur propre code.
Une vulnérabilité dans l’implémentation UEFI de base d’un IBV est susceptible d’avoir un impact sur les produits de tous les fabricants qui utilisent le micrologiciel de cet IBV. Par exemple, une attaque baptisée LogoFAIL, découverte en 2023, a affecté les implémentations UEFI de base des trois principaux IBV – Insyde, AMI et Phoenix – en raison de multiples vulnérabilités dans leur code d’analyse d’images.
En conséquence, la plupart des fabricants de PC ont dû publier des mises à jour du BIOS/UEFI, mais de nombreux PC et cartes mères plus anciens sont restés vulnérables à perpétuité, car les fabricants de PC n’offrent un support logiciel que pendant quelques années, alors que ces produits sont utilisés dans le monde réel depuis beaucoup plus longtemps.
Ce problème est encore pire dans le domaine de l’IoT et des appareils embarqués, où les systèmes d’exploitation spécialisés en temps réel (RTOS) sont courants. On retrouve souvent dans ces appareils des composants de micrologiciels tels que les piles TCP/IP initialement développées il y a des décennies par des éditeurs de logiciels qui n’existent plus ou dont la propriété intellectuelle a changé de mains plus d’une fois au fil des ans.
Les chaînes d’approvisionnement en matériel industriel sont également affectées par ce problème, ce qui fait de la sécurité du micrologiciel un problème difficile à résoudre pour les utilisateurs finaux si aucune mise à jour du micrologiciel n’est fournie. LogoFAIL est l’une des vulnérabilités détectées par Eclypsium dans le micrologiciel obsolète de l’iSeq 100, ainsi que d’autres problèmes tels que l’absence de protections en écriture du micrologiciel, le démarrage sécurisé non activé et le démarrage du système d’exploitation en mode de support de compatibilité (CSM).
Le microcode du processeur, généralement inclus dans l’UEFI, était également obsolète et vulnérable aux vulnérabilités connues en matière de fuite de données par canal secondaire affectant les processeurs Intel tels que Spectre v2 (Branch Target Injection) et Fallout et RIDL (Microarchitectural Data Sampling).
Le porte-parole a poursuivi : « Illumina s’engage envers la sécurité de nos produits et la confidentialité des données génomiques et nous avons établi des processus de surveillance et de responsabilité, y compris les meilleures pratiques de sécurité pour le développement et le déploiement de nos produits. Dans le cadre de cet engagement, nous travaillons toujours à améliorer la manière dont nous fournissons les mises à jour de sécurité pour les instruments sur le terrain.
Protections du micrologiciel nécessaires pour empêcher les implantations UEFI
Étant donné que le flashage du micrologiciel n’est pas bloqué et que le micrologiciel ne dispose pas de protections en écriture pour les régions critiques, les attaquants disposant d’un accès administrateur local sur le système d’exploitation pourraient facilement injecter du code malveillant dans le micrologiciel ou le réécrire entièrement, rendant l’appareil inutilisable.
« Ce n’est pas un scénario farfelu étant donné qu’il a récemment été découvert que les séquenceurs Illumina présentaient une vulnérabilité critique RCE (Remote Code Execution) (CVE-2023-1968) », ont écrit les chercheurs d’Eclypsium dans leur rapport. « Le problème a affecté une variété d’appareils Illumina, entraînant un rappel de classe II de la FDA ainsi qu’un avis médical ICS de la CISA. »
Cette vulnérabilité RCE 2023 a depuis été corrigée, mais les attaquants pourraient trouver une autre vulnérabilité ou voler les informations d’identification de l’appareil et exploiter une faille d’élévation de privilèges dans Windows, ce qui est courant. Le séquenceur Illumina exécute Windows 10 2016 LTSB, version 1607, pour lequel le support général a pris fin en octobre 2021, mais l’option de support étendu se poursuivra jusqu’en octobre 2026.
Le fait que Secure Boot ne soit pas activé signifie que le code responsable du démarrage du système d’exploitation, tant au niveau UEFI que dans le chargeur de démarrage Windows lui-même, n’est pas vérifié cryptographiquement. En tant que tel, un code malveillant pourrait être injecté dans le processus de démarrage pour prendre le contrôle du noyau du système d’exploitation, une attaque de malware connue sous le nom de bootkit (rootkit de démarrage).
Les bootkits UEFI sont utilisés dans la nature depuis plus d’une décennie. Les exemples incluent LoJax (2018), MosaicRegressor (2020), FinSpy (2021), ESPecter (2021), MoonBounce (2022), CosmicStrand (2022) et BlackLotus (2023).
Signe d’un problème plus large
Alors que les recherches d’Eclypsium ont porté uniquement sur l’Illumina iSeq 100, les chercheurs pensent que de nombreux dispositifs médicaux souffrent probablement de problèmes de sécurité de micrologiciel similaires hérités de la chaîne d’approvisionnement matérielle. Les fournisseurs de dispositifs médicaux ne fabriquent pas toujours eux-mêmes le matériel de leurs appareils, mais se concentrent plutôt sur leur principal domaine d’expertise et externalisent le reste du processus de développement des appareils vers des ODM et des IBV, par exemple.
« D’après ce que nous avons vu, les ODM et même les IBV fourniront des mises à jour jusqu’à un certain point, mais une fois que l’appareil a dépassé un certain âge, il est beaucoup plus difficile de publier des correctifs ou même de générer du code pour les correctifs pour commencer », a-t-il déclaré. . « Gardez à l’esprit que les cartes informatiques industrielles sont conçues pour fonctionner beaucoup plus longtemps que les cartes informatiques classiques que nous connaissons. »