Illumina Universal Copy Service - CVE-2023-1968

Date de publication : 28/04/2023

Un défaut de configuration dans Universal Copy Service v2.x permet à un attaquant non authentifié, pouvant communiquer avec la machine, de mener des attaques contre celle-ci.

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Oui

Risques

Atteinte à la confidentialité des données
Atteinte à la disponibilités des données
Déni de service

Exploitation

La vulnérabilité exploitée est du type
CWE-1327: Binding to an Unrestricted IP Address

Détails sur l'exploitation
•    Vecteur d'attaque : Réseau.
•    Complexité de l'attaque : Faible.
•    Privilèges nécessaires pour réaliser l'attaque : Aucun.
•    Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non.
•    L'exploitation de la faille permet d'obtenir des droits privilégiés : Non.

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

iScan Control Software version 4.0.0.
iScan Control Software version 4.0.5.
iSeq 100 toutes les versions. 
MiniSeq Control Software versions 2.0 et ultérieures.
MiSeq Control Software version 4.0 (RUO Mode).
MiSeqDx Operating Software versions 4.0.1 et ultérieures. 
NextSeq 500/550 Control Software version 4.0.
NextSeq 550Dx Control Software version 4.0 (RUO Mode). 
NextSeq 550Dx Operating Software versions comprises entre 1.0.0 et 1.3.1.
NextSeq 550Dx Operating Software versions 1.3.3 et ultérieures. 
NextSeq 1000/2000 Control Software versions 1.7 et antérieures.
NovaSeq 6000 Control Software versions 1.7 et antérieures. 
NovaSeq Control Software version 1.8.

Solutions ou recommandations

En complément des mises à jour, lorsqu’elles sont disponibles, Illumina recommande de mettre en place des identifiants USC pour l’ensemble des appareils.
Mettre à jour MiSeq Control Software vers la version 4.0.3.19 ou ultérieure.
Mettre à jour NextSeq 550Dx vers la version 1.5.2.3 ou ultérieure.
Mettre à jour NextSeq 1000/2000 vers la version 1.5.0 ou ultérieure.
Mettre à jour NextSeq 6000 vers la version 1.8.1.59 ou ultérieure.
Contacter le support technique d’Illumina pour mettre à jour iScan vers la version 4.2.1.
Des informations complémentaires sont disponibles dans les bulletins d’Illimina et du CISA.