Pesquisadores de cibersegurança identificaram vulnerabilidades graves no firmware dos sequenciadores de DNA Illumina iSeq 100, que podem ser exploradas por invasores para desativar os dispositivos ou implantar malwares persistentes. O problema está relacionado ao uso de uma versão desatualizada do BIOS (B480AM12 – 04/12/2018), que não conta com proteções essenciais, como o Secure Boot e restrições de gravação no firmware. Embora o UEFI substitua o BIOS em tecnologias modernas para maior segurança, o iSeq 100 ainda utiliza a versão antiga. A falta dessas proteções permite que invasores modifiquem o firmware para desabilitar o dispositivo ou instalar códigos maliciosos, garantindo controle contínuo.

Além disso, o dispositivo usa o modo de Compatibilidade de Suporte (CSM), adequado para equipamentos mais antigos, mas inadequado para os modelos modernos. Após a divulgação das falhas, a Illumina lançou uma correção, mas, caso dispositivos não atualizados sejam explorados, invasores poderiam escalar privilégios, modificar o firmware e causar danos significativos. Esses danos incluem alterações nos resultados de análises genéticas, como diagnósticos errôneos de condições hereditárias ou falsificação de dados de pesquisa.

A Eclypsium alertou que a vulnerabilidade pode estar presente em outros dispositivos médicos e industriais, já que o problema está ligado a uma placa-mãe OEM fabricada pela IEI Integration Corp. Isso demonstra como falhas na cadeia de suprimentos podem impactar diferentes setores. Este não é o primeiro incidente com sequenciadores Illumina; em 2023, uma falha crítica (CVE-2023-1968) permitiu a interceptação de tráfego de rede e execução remota de comandos. Dispositivos como o iSeq 100 são alvos atrativos para ataques cibernéticos devido à sua importância em diagnósticos genéticos, produção de vacinas e pesquisas contra doenças resistentes a medicamentos.