Desde 2016, Microsoft ha hecho obligatoria la inclusión de un módulo de plataforma segura y confiable que aplique Secure Boot en todos los dispositivos Windows. Hasta la fecha, muchas organizaciones consideran el Secure Boot como un elemento esencial de confianza para la protección de dispositivos en entornos críticos. Sin embargo, aplicar esta medida de seguridad en dispositivos especializados sigue siendo un reto. Un ejemplo notable son los instrumentos científicos utilizados en laboratorios de investigación, donde la implementación de Secure Boot es complicada.
Investigadores de Eclypsium han destacado esta problemática al identificar el secuenciador de ADN Illumina iSeq 100, que es ampliamente utilizado en laboratorios de secuenciación genética, incluyendo 23andMe. Una de las preocupaciones sobre el iSeq 100 es que tiene la capacidad de arrancar en un modo de compatibilidad, permitiendo su funcionamiento con sistemas más antiguos, incluidos aquellos de 32 bits. Como resultado, el dispositivo utiliza un BIOS B480AM12, que data de 2018 y es conocido por poseer vulnerabilidades críticas que podrían ser explotadas por atacantes a través de malware diseñado para el firmware.
Adicionalmente, Eclypsium ha señalado que las protecciones de lectura/escritura del firmware del iSeq 100 no están habilitadas, lo que permite a un atacante modificar el firmware del dispositivo a su antojo. Otro aspecto preocupante del análisis realizado por Eclypsium es que, aunque se centraron en el modelo iSeq 100, es posible que estos problemas sean más comunes en otros dispositivos similares. Las empresas que fabrican dispositivos médicos tienden a especializarse en áreas específicas, delegando la creación de la infraestructura informática subyacente a proveedores externos.
En este caso particular, los problemas se relacionan con un componente de hardware OEM fabricado por IEI Integration Corp., una empresa conocida por desarrollar productos informáticos industriales y que también tiene una línea dedicada a dispositivos médicos. Debido a esta estructura de suministro, es probable que se encuentren deficiencias similares en otros dispositivos médicos o industriales que utilicen placas base de IEI.
Alex Bazhaniuk, CTO de Eclypsium, mencionó en un correo electrónico que la falta de actualizaciones de seguridad en sistemas operativos antiguos incrementa los riesgos, además de complicar la administración de los activos de TI en las redes de las organizaciones. Esta situación subraya la importancia de garantizar que las medidas de seguridad, como Secure Boot, se implementen adecuadamente en todos los dispositivos, especialmente aquellos que operan en entornos críticos y manipulando información sensible.
En conclusión, el Secure Boot es una defensa esencial contra el malware que ataca el firmware; sin embargo, su implementación en dispositivos especializados, como los equipos de secuenciación de ADN, presenta desafíos significativos. La vulnerabilidad del iSeq 100 y el potencial de que otras máquinas enfrenten problemas similares resaltan la necesidad de que los fabricantes de dispositivos médicos y las organizaciones de TI tomen en serio la seguridad en la cadena de suministro y consideren el fortalecimiento de las prácticas de seguridad desde las etapas iniciales del diseño y desarrollo.
Enlace de la fuente, haz clic para tener más información