Illumina Universal Copy Service - CVE-2023-1966

Date de publication : 28/04/2023

Un défaut de gestion de privilèges dans Illumina Universal Copy Service permet à un attaquant authentifié, ayant un accès physique au système vulnérable, d’exécuter du code avec les droits du système.

CVE-2023-1966

[Score CVSS v3.1: 7.4]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Oui

Risques

Exécution de code arbitraire
Élévation de privilèges

Exploitation

La vulnérabilité exploitée est du type
CWE-250: Execution with Unnecessary Privileges

Détails sur l'exploitation
•    Vecteur d'attaque : Physique.
•    Complexité de l'attaque : Faible.
•    Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple.
•    Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non.
•    L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui.

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

iScan Control Software version 4.0.0.
iScan Control Software version 4.0.5.
iSeq 100 toutes les versions. 
MiniSeq Control Software versions 2.0 et ultérieures.
MiSeq Control Software version 4.0 (RUO Mode).
MiSeqDx Operating Software versions 4.0.1 et ultérieures. 
NextSeq 500/550 Control Software version 4.0.
NextSeq 550Dx Control Software version 4.0 (RUO Mode). 
NextSeq 550Dx Operating Software versions comprises entre 1.0.0 et 1.3.1.
NextSeq 550Dx Operating Software versions 1.3.3 et ultérieures. 
NextSeq 1000/2000 Control Software versions 1.7 et antérieures.
NovaSeq 6000 Control Software versions 1.7 et antérieures. 
NovaSeq Control Software version 1.8.

Solutions ou recommandations

En complément des mises à jour, lorsqu’elles sont disponibles, Illumina recommande de mettre en place des identifiants USC pour l’ensemble des appareils.
Mettre à jour MiSeq Control Software vers la version 4.0.3.19 ou ultérieure.
Mettre à jour NextSeq 550Dx vers la version 1.5.2.3 ou ultérieure.
Mettre à jour NextSeq 1000/2000 vers la version 1.5.0 ou ultérieure.
Mettre à jour NextSeq 6000 vers la version 1.8.1.59 ou ultérieure.
Contacter le support technique d’Illumina pour mettre à jour iScan vers la version 4.2.1.
Des informations complémentaires sont disponibles dans les bulletins d'Illimina et du CISA.

    Liens