angellodeco – Shutterstock.com
Das DNA-Sequenziergerät iSeq 100 von Illumina wird von medizinischen Laboren auf der ganzen Welt für eine Vielzahl von Anwendungen eingesetzt. Forscher des Sicherheitsspezialisten Eclypsium fanden heraus, dass die Firmware-Ebene des Geräts eine Sicherheitslücke enthält. Demnach fehlen dort wichtige Sicherheitsfunktionen, die böswillige Firmware-Implantate verhindern sollten.
„Wir haben festgestellt, dass das Illumina iSeq 100 eine sehr veraltete Implementierung der BIOS-Firmware im CSM-Modus und ohne Secure Boot oder Standard-Firmware-Schreibschutz verwendet”, scheiben die Forscher in ihrem Bericht. Demnach könnten Angreifer die Firmware auf dem System überschreiben, um das Gerät zu „zerstören“ oder ein Firmware-Implantat für eine anhaltende Persistenz installieren.
Folgen von veralteter Technologie
Abgesehen von seinem maßgeschneiderten Gehäuse, der Touchscreen-Oberfläche und anderen speziellen Peripheriegeräten, die für die DNA-Sequenzierung verwendet werden, unterscheidet sich der iSeq 100 nicht wesentlich von einem typischen x86-Desktop-PC. Seine Basis-Hardware besteht aus einem Intel Celeron J1900 2GHz Quad Core CPU, 8 GB RAM und einer 240 GB SSD, auf der Windows 10 loT Enterprise läuft.
Das ist nicht überraschend, da Illumina, wie viele Anbieter von Medizinprodukten, das Hardware-Design und die Fertigung an einen Original Design Manufacturer (ODM) ausgelagert hat – in diesem Fall an IEI Integration, das eine breite Palette von industriellen und medizinischen Computerprodukten entwickelt. IEI hat das Motherboard im Inneren des iSeq 100 hergestellt und ist der Lieferant der Unified Extensible Firmware Interface (UEFI)-Firmware, die das Gerät antreibt.
UEFI ist eine standardisierte Spezifikation für Firmware in Computersystemen – das moderne Äquivalent zum BIOS – und enthält den Low-Level-Code, der für die Initialisierung der Hardware eines Computers verantwortlich ist, bevor das auf der Festplatte installierte Betriebssystem geladen wird.
Laut den Eclypsium-Forschern wurde die Firmware im iSeq 100 (B480AM12 – 04/12/2018) im Jahr 2018 veröffentlicht und weist bekannte Schwachstellen auf. Computer- und Gerätehersteller verwenden UEFI-Implementierungen, die von einer Handvoll unabhängiger BIOS-Anbieter (IBVs) entwickelt wurden und die sie dann mit ihrem eigenen Code konfigurieren und anpassen.
Eine Schwachstelle in der Basis-UEFI-Implementierung eines IBV wirkt sich wahrscheinlich auf Produkte aller Hersteller aus, die die Firmware dieses IBV verwenden. So betraf beispielsweise ein Angriff namens LogoFAIL, der im Jahr 2023 entdeckt wurde, Basis-UEFI-Implementierungen aller drei großen IBV – Insyde, AMI und Phoenix – aufgrund mehrerer Schwachstellen in ihrem Bildanalysecode.
Infolgedessen mussten die meisten PC-Hersteller BIOS/UEFI-Updates veröffentlichen. Viele ältere PCs und Motherboards sind jedoch auf Dauer anfällig geblieben, da PC-Hersteller nur für wenige Jahre Software-Support anbieten – obwohl diese Produkte in der Praxis viel länger genutzt werden.
Dieses Problem ist im IoT-Bereich und bei integrierten Geräten, wo spezialisierte Echtzeitbetriebssysteme (RTOS) üblich sind, noch gravierender. In diesen Geräten sind häufig Firmware-Komponenten wie TCP/IP-Stacks zu finden, die ursprünglich vor Jahrzehnten entwickelt wurden. Sie stammen von Softwareunternehmen, die es heute nicht mehr gibt oder deren geistiges Eigentum im Laufe der Jahre mehrmals den Besitzer gewechselt hat.
Auch die Lieferketten für Industriehardware sind von diesem Problem betroffen. Das macht die Firmware-Sicherheit für Endbenutzer besonders schwierig, wenn keine Firmware-Updates bereitgestellt werden. LogoFAIL ist eine der Schwachstellen, die Eclypsium in der veralteten Firmware von iSeq 100 entdeckt hat. Daneben stieß das Unternehmen noch auf andere Problemen wie das Fehlen von Firmware-Schreibschutz, die Nichtaktivierung von Secure Boot und das Booten des Betriebssystems im Compatibility Support Mode (CSM).
Der CPU-Mikrocode, der normalerweise in UEFI enthalten ist, war ebenfalls veraltet und anfällig für bekannte Schwachstellen in Bezug auf Seitenkanaldatenlecks, die sich auf Intel-CPUs auswirken, wie Spectre v2 (Branch Target Injection) und Fallout und RIDL (Microarchitectural Data Sampling).
„Illumina begrüßt den Bericht von Eclypsium Research und unser gemeinsames Engagement für die Grundsätze der koordinierten Offenlegung von Schwachstellen“, teilte ein Illumina-Sprecher auf Nachfrage von CSO mit. “Wir halten uns an unsere Standardprozesse und werden betroffene Kunden benachrichtigen, wenn Maßnahmen erforderlich sind. Unsere erste Analyse deutet darauf hin, dass diese Probleme kein hohes Risiko darstellen.“
Lesetipp: Die 6 größten Cyberbedrohungen im Gesundheitswesen
Firmware-Schutzmaßnahmen zur Verhinderung von UEFI-Implantaten erforderlich
Da das Flashen der Firmware nicht blockiert wird und die Firmware keinen Schreibschutz für kritische Bereiche hat, könnten Angreifer mit lokalem Administratorzugriff auf das Betriebssystem leicht bösartigen Code in die Firmware einschleusen oder sie vollständig neu schreiben. Dadurch würde das Gerät funktionsunfähig.
„Dies ist ein mögliches Szenario, da kürzlich festgestellt wurde, dass die Illumina-Sequenzierer eine kritische RCE-Schwachstelle (Remote Code Execution) aufweisen (CVE-2023-1968)“, argumentieren die Forscher von Eclypsium in ihrem Bericht. “Das Problem betraf eine Vielzahl von Illumina-Geräten, was zu einem Rückruf der FDA-Klasse II sowie zu einer ICS Medical Advisory von CISA führte.“
Die RCE-Schwachstelle von 2023 wurde inzwischen behoben, aber Angreifer könnten eine andere Schwachstelle finden oder Anmeldedaten für das Gerät stehlen und einen Fehler bei der Rechteausweitung in Windows ausnutzen, was häufig vorkommt. Auf dem Illumina-Sequenzierer läuft Windows 10 2016 LTSB, Version 1607, für das der Mainstream-Support im Oktober 2021 endete. Die Option des erweiterten Supports läuft noch bis Oktober 2026.
Da Secure Boot nicht aktiviert ist, wird der Code, der für das Booten des Betriebssystems verantwortlich ist, sowohl auf UEFI-Ebene als auch im Windows-Bootloader selbst, nicht kryptografisch verifiziert. Daher könnte bösartiger Code in den Boot-Prozess eingeschleust werden, um die Kontrolle über den Betriebssystem-Kernel zu übernehmen – ein Malware-Angriff, der als Bootkit (Boot-Rootkit) bekannt ist.
UEFI-Bootkits werden seit über einem Jahrzehnt in freier Wildbahn eingesetzt. Beispiele hierfür sind LoJax (2018), MosaicRegressor (2020), FinSpy (2021), ESPecter (2021), MoonBounce (2022), CosmicStrand (2022) und BlackLotus (2023).
Anzeichen für ein umfassenderes Problem
Während sich die Untersuchung von Eclypsium nur mit dem Illumina iSeq 100 befasste, gehen die Forscher davon aus, dass viele medizinische Geräte wahrscheinlich unter ähnlichen Firmware-Sicherheitsproblemen leiden. Anbieter von medizinischen Geräten stellen ihre Gerätehardware nicht immer selbst her, sondern konzentrieren sich auf ihr Kernfachgebiet und lagern den Rest des Geräteentwicklungsprozesses beispielsweise an ODMs und IBVs aus.
„Es ist mehr als wahrscheinlich, dass viele andere Hersteller denselben Prozess anwenden“, betonte Alex Bazhaniuk, CTO von Eclypsium, gegenüber CSO. „Sobald ein Hersteller von Medizinprodukten in die F&E-Phase eintritt, geht er bei ODMs und IBVs auf die Suche nach Hardware- und Firmware-Lösungen, um die Markteinführung zu beschleunigen. Dieser Prozess wird wie jede andere Produkttransaktion behandelt, bei der dem Hersteller ein Angebot für die Hardware/Firmware und Support für einen bestimmten Zeitraum unterbreitet wird – manchmal sind kostenlose Sicherheits-Updates enthalten, manchmal nicht.“ Der Experte fügte hinzu: „Nach unseren Erkenntnissen stellen ODMs und sogar IBVs Updates bis zu einem gewissen Punkt bereit, aber sobald das Gerät ein bestimmtes Alter überschreitet, ist es viel schwieriger, Fehlerbehebungen zu erstellen oder überhaupt erst Code für die Fehlerbehebungen zu generieren. Man sollte bedenken, dass industrielle Computerplatinen für eine viel längere Betriebsdauer ausgelegt sind als normale Computerplatinen, mit denen wir vertraut sind. (jm)