2021년 12월 10일, Illumina는 Apache Log4j 소프트웨어 제품군(CVE-2021-44228, CVE-2021-45046 및 CVE-2021-44832)의 취약성을 인지했습니다. 이 소프트웨어 구성 요소는 Java 기반 로깅 유틸리티이며 Apache Logging Services Foundation 제품의 일부입니다.

Illumina는 이 문제를 알게 된 후 잠재적으로 영향을 받는 제품을 식별하고 위험을 평가하며 다음 업데이트를 수행하기 위한 조사를 시작했습니다.

현재 평가된 제품의 scope:

평가 현황:

• HiSeq 시리즈 이외의 모든 모델의 경우: 기본 배송 구성은 영향을 받지 않습니다.
• 모든 HiSeq 시리즈 모델의 경우: 기본 배송 구성이 완화됩니다.
• 모든 모델의 경우: 특정 소프트웨어 설치 및 구성에 영향을 받는 구성 요소가 도입될 수 있습니다.

알려진 영향받은 구성요소:

• Illumina Local Run Manager(LRM)
  • 이 선택적 소프트웨어 모듈은 log4j v.1.x의 해당 버전이 포함된 선택적 하위 구성요소인 유전체 분석 도구 키트(GATK, MIT)와 함께 배송됩니다.
  • 이 구성 요소는 원격으로 액세스할 수 없으며, 인증된 콘솔 액세스가 필요하며, 성공적인 공격을 실행하기 위해 측정 가능한 양의 준비가 필요합니다.
  • 이 모듈은 현재 완화된 것으로 평가된 위험입니다.
    CVSS 3.1 척도 기본 점수: 6.1 중간, 시간 및 환경 점수 5.4 중간
    CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:L/A:N/E:U/RL:W/RC:C
• 모든 HiSeq 모델:
  • 모든 HiSeq 모델은 Broadcom LSI MegaRAID Storage Manager Suite가 설치된 상태로 배송됩니다. 이 소프트웨어에는 해당 버전의 log4j v.1.x가 포함됩니다. HiSeq 장치의 기본 배송 구성은 이 구성 요소에 대한 원격 액세스를 차단하며, 이는 인증된 콘솔 액세스가 필요하며 성공적인 공격을 실행하기 위해 측정 가능한 양의 준비가 필요합니다.
  • 참고: 장치 방화벽 설정이 비활성화 또는 수정된 경우, TCP:80(HTTP)에서 이 소프트웨어 구성 요소에 원격으로 액세스할 수 있습니다. 시스템 수정으로 인해 기본 방화벽 설정이 비활성화되지 않았는지 확인하는 것이 좋습니다.
  • 이 모듈은 현재 완화된 것으로 평가된 위험입니다.
    CVSS 3.1 척도 기본 점수: 6.1 중간, 시간 및 환경 점수 5.4 중간
    CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:L/A:N/E:U/RL:W/RC:C

특정 Illumina 기기에 대한 업데이트는 고객이 기술 보고서 페이지를 모니터링할 것을 Illumina 권장합니다. Illumina는 조사에 기반하여 필요에 따라 계속해서 업데이트를 제공할 것입니다.

Illumina는 데이터 프라이버시 및 보안 문제를 매우 심각하게 받아들이고 있으며, 이 정보가 이 취약성에 대한 우려를 완화하는 데 도움이 되기를 바랍니다. 질문이 있으시면 techsupport@illumina.com으로 이메일을 보내주세요.