公開日:2022/06/03 最終更新日:2022/06/03

JVNVU#94896801
Illumina製Local Run Managerにおける複数の脆弱性

概要

Illumina社が提供するLocal Run Managerには、複数の脆弱性が存在します。

影響を受けるシステム

Local Run Manager(LRM)1.3から3.1までのバージョンを使用している次の機器および装置に影響があります

  • Illuminaの体外診断用の機器
    • NextSeq 550Dx
    • MiSeq Dx
  • 研究使用専用の装置
    • NextSeq 500 Instrument
    • NextSeq 550 Instrument
    • MiSeq Instrument
    • iSeq 100 Instrument
    • MiniSeq Instrument

詳細情報

Illumina社が提供するLocal Run Managerには、次の複数の脆弱性が存在します。

  • 不要な特権による実行 (CWE-250) - CVE-2022-1517
  • ディレクトリトラバーサル (CWE-22) - CVE-2022-1518
  • アップロードするファイルの検証が不十分 (CWE-434) - CVE-2022-1519
  • 不適切なアクセス制御 (CWE-284) - CVE-2022-1521
  • 重要な情報の平文送信 (CWE-319) - CVE-2022-1524

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 遠隔の第三者によって、権限昇格された上で任意のコード実行されたり、一般利用を想定していないAPIにアクセスされたりする - CVE-2022-1517
  • 遠隔の第三者によって、任意の場所にファイルをアップロードされる - CVE-2022-1518
  • 遠隔の第三者によって、任意のコードを実行される - CVE-2022-1519
  • 遠隔の第三者によって、機微な情報を窃取されたり、改ざんされたりする- CVE-2022-1521
  • 遠隔の第三者によって、機微な情報を含む通信を傍受されたり、通信の内容を改ざんされたりする - CVE-2022-1524

対策方法

アップデートする
開発者は、アップデートを提供しています。
詳細は、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
Illumina Local Run Manager(要ログイン)

参考情報

  1. ICS Advisory (ICSA-22-153-02)
    Illumina Local Run Manager
  2. FDA: Letter to Health Care Providers
    Illumina Cybersecurity Vulnerability May Present Risks for Patient Results and Customer Networks

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia