公開日:2023/04/28 最終更新日:2023/04/28

JVNVU#93912706
Illumina製Universal Copy Serviceにおける複数の脆弱性

概要

Illumina社が提供するUniversal Copy Serviceには、複数の脆弱性が存在します。

影響を受けるシステム

Illumina Universal Copy Serviceを使用する以下の製品が本脆弱性の影響を受けます。

  • iScan Control Software 4.0.0
  • iScan Control Software 4.0.5
  • iSeq 100 すべてのバージョン
  • MiniSeq Control Software 2.0およびそれ以降のバージョン
  • MiSeq Control Software 4.0およびそれ以降のバージョン
  • MiSeqDx MiSeq Control Software 4.0 (RUO Mode)
  • MiSeqDx Operating Software 4.0.1およびそれ以降のバージョン
  • NextSeq 500/550 NextSeq Control Software 4.0
  • NextSeq 550Dx NextSeq Control Software 4.0 (RUO Mode)
  • NextSeq 550Dx NextSeq Operating Software 1.0.0から1.3.1
  • NextSeq 550Dx NextSeq Operating Software 1.3.3およびそれ以降のバージョン
  • NextSeq 1000/2000 NextSeq Control Software 1.4.1
  • NovaSeq 6000 NovaSeq Control Software 1.7およびそれ以前のバージョン
  • NovaSeq 6000 NovaSeq Control Software 1.8

詳細情報

Illumina社が提供するUniversal Copy Serviceには、次の複数の脆弱性が存在します。

  • 無制限のIPアドレスへのバインド (CWE-1327) - CVE-2023-1968
  • 不要な特権による実行 (CWE-250) - CVE-2023-1966

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 遠隔の第三者によって、Universal Copy Serviceを使用してすべてのIPアドレスをリッスンされる - CVE-2023-1968
  • 低権限ユーザによって、OSレベルでコードをアップロードされ、当該製品の設定、構成およびソフトウェアを変更されたり、機微なデータを窃取されたりする - CVE-2023-1966

対策方法

アップデートまたはワークアラウンドを実施する
開発者は、影響を受ける製品毎に対策を示しています。
詳細は、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
Illumina Universal Copy Service Vulnerability

参考情報

  1. ICS Medical Advisory | ICSMA-23-117-01
    Illumina Universal Copy Service

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia