Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en Local Run Manager (LRM) de Illumina

Múltiples vulnerabilidades en Local Run Manager (LRM) de Illumina

Fecha de publicación: 
03/06/2022
Identificador: 
INCIBE-2022-0777
Importancia: 
5 - Crítica
Recursos afectados: 

Software LRM utilizado en los productos:

  • Dispositivos Illumina In Vitro Diagnostic (IVD), versiones LRM desde la 1.3 hasta la 3.1:
    • NextSeq 550Dx,
    • MiSeq Dx.
  • Researcher Use Only (ROU), versiones LRM desde la 1.3 hasta la 3.1:
    • NextSeq 500 Instrument,
    • NextSeq 550 Instrument,
    • MiSeq Instrument,
    • iSeq 100 Instrument,
    • MiniSeq Instrument.
Descripción: 

Pentest, Ltd. (pentest.co.uk) reportó 5 vulnerabilidades a Illumina, que a su vez ha reportado al CISA, que podrían permitir a un atacante, no autenticado, tomar el control del producto afectado de forma remota y realizar cualquier acción a nivel del sistema operativo, como afectar a los ajustes, las configuraciones, el software o los datos e interactuar con la red conectada.

Solución: 
  • Para los productos conectados a Internet, aplicar las últimas actualizaciones;
  • para los productos no conectados a Internet, contactar con el soporte técnico (techsupport@illumina.com) para recibir instrucciones de instalación de las actualizaciones.
Detalle: 
  • LRM utiliza privilegios elevados, lo que podría permitir a un atacante, no autenticado, cargar y ejecutar código de forma remota a nivel del sistema operativo, para cambiar los ajustes, configuraciones, software o acceder a datos sensibles en el producto afectado. También podría acceder a APIs no destinadas al uso general e interactuar a través de la red. Se ha asignado el identificador CVE-2022-1517 para esta vulnerabilidad.
  • Una vulnerabilidad de cambio de directorios en LRM podría permitir a un atacante realizar cargas fuera de la estructura de directorios prevista. Se ha asignado el identificador CVE-2022-1518 para esta vulnerabilidad.
  • LRM no restringe los tipos de archivos que se pueden cargar en el producto afectado, lo que podría permitir a un atacante subir cualquier tipo de archivo, incluido un código ejecutable que permita un exploit de código remoto. Se ha asignado el identificador CVE-2022-1518 para esta vulnerabilidad.
  • LRM no implementa la autenticación ni la autorización por defecto, lo que podría permitir a un atacante inyectar, reproducir, modificar y/o interceptar datos sensibles. Se ha asignado el identificador CVE-2022-1521 para esta vulnerabilidad.

Para la vulnerabilidad de severidad alta se ha asignado el identificador CVE-2022-1521.

Encuesta valoración