Illumina因美娜因安全漏洞向美国司法部支付980万美元和解金和4.33%年息，举报人可获得190万美元捐助

 

Illumina Inc将支付 $9.8M达成和解

2025年2月4日午间13分02秒，国家商务部发布了一则重要公告，宣布将美国基因测序公司Illumina（因美纳）列入不可靠实体清单。商务部新闻发言人就对美国因美纳公司采取不可靠实体清单处理措施答记者问给出的原因是：“美国因美纳公司违反正常的市场交易原则，中断与中国企业的正常交易，对中国企业采取歧视性措施，严重损害中国企业合法权益。”国家商务部产业安全与进出口管制局也转载了相关新闻。

2025 年 7 月 31 日，美国司法部发文：Illumina Inc. 已同意支付 980 万美元，以解决有关其向联邦机构出售某些具有网络安全漏洞的基因组测序系统时违反《虚假索赔法》的指控。该和解协议解决了有关 Illumina 在 2016 年 2 月至 2023 年 9 月期间向政府机构出售带有网络安全漏洞软件的基因组测序系统的指控，而没有足够的安全计划和足够的质量系统来识别和解决这些漏洞。

据美国司法部称，在 2016 年 2 月至 2023 年 9 月期间，Illumina 将这些基因组测序系统出售给联邦机构，而没有建立足够的安全计划或质量体系。在和解协议中，政府辩称，无论是否发生任何网络安全漏洞，“这些说法都是虚假的，因为 Illumina 故意未能将产品网络安全纳入其软件设计、开发、安装和市场监控;未能为负责产品安全的人员、系统和流程提供适当的支持和资源;[并且]未能充分纠正引入网络安全漏洞的设计功能。此外，据政府称，Illumina 谎称其软件符合网络安全标准，例如美国国家标准与技术研究院制定的标准。和解协议规定，Illumina将向政府支付980万美元，其中430万美元是赔偿金。根据《虚假索赔法》吹哨人机制，和解总额中的190 万美元将捐给该案的举报人，即Illumina的某位雇员。和解协议：Illumnia Settlement Agreement

《虚假索赔法》False Claims Act，FCA美国一项重要的法律，旨在打击针对政府的欺诈行为，政府通过和解快速回收公款，避免冗长诉讼，同时避免因败诉导致法律先例不利。FAC的奖励机制允许举报人（吹哨人）获得政府追回金额的15%至30%作为奖励，吹哨人可以通过诉讼手段来起诉相关部门和负责人，检举贪腐，渎职等问题。《吹哨人保护法案》Whistleblower Protection Act可以保护举报人免受雇主的报复，如解雇或降职。

根据罗德岛州地区法院诉讼文件Case 1:23-cv-00372-MSM-LDA显示：Illumina产品包含患者隐私数据，包括受HIPAA（健康保险流通与责任法案）保护的医疗保险受益人数据。Illumina的多款产品存在如：权限提升、凭据暴漏等安全问题。如普通用户可以被授予执行安全相关操作的特殊权限，如访问机密数据、删除文件、授予恶意行为者系统访问权限等。

2021年10月，罗氏制药也就是Illumina的客户之一，联系Illumina告知其发现了LRM软件中的安全漏洞。2022年8月，Illumina通过召回首次向政府披露了其LRM软件存在漏洞，这距离罗氏发现并告知Illumina已经过去了一年时间。

2023年4月，Illumina发起因召回并披露其部分版本的UCS软件存在安全问题。UCS软件全称Universal Copy Service 通用复制服务。是 Illumina 测序仪器上使用的后台服务，用于自动将运行数据从仪器复制到指定的输出位置，例如网络共享或外部存储。

一些用户信息被硬编码在软件中，而硬编码用户信息可以被攻击者利用，从而绕过登录认证，在未经授权的情况下访问和操作机密数据。比如云存储的访问密钥和患者、用户的基因组信息被以明文形式编写在软件代码中。直至2022年，Illumina供应商Veracode在对Illumina产品进行代码审查时发现存在硬编码问题。在LRM召回之后，这种情况仍然是已知的网络按漏洞。

 

漏洞信息

（CVE-2023-1968） 攻击者可绑定到不受限制的 IP 地址，从而可能使他们能够监听所有可以接受远程通信的 IP 地址。此漏洞影响具有 UCS v2.x 的仪器，CVSS v3 基本分数为 10.0，表明存在严重漏洞。

（CVE-2023-1966） 攻击者可在作系统级别远程执行代码，从而可能使他们能够更改受影响产品上的设置、配置、软件或访问敏感数据。此漏洞影响具有 UCS v1.x 和 v2.x 的仪器，CVSS v3 基本评分为 7.4，表明存在高严重性漏洞。

近期，Eclypsium 的研究团队在发现 Illumina iSeq 100 基因测序仪存在 BIOS/UEFI 漏洞。攻击者可以覆盖系统固件让设备“变砖”或植入恶意程序以形成持久性攻击。问题与 IEI Integration Corp. 制造的 OEM 主板有关。IEI 开发了广泛的工业计算机产品，并作为医疗设备 ODM 维护着专门的业务线。因此，这些或类似的问题很可能出现在其他使用 IEI 主板的医疗或工业设备中。

Eclypsium认为覆盖 iSeq 100 上固件的将使攻击者能够轻松禁用该设备，从而在勒索软件攻击的背景下造成重大破坏。这不仅会使高价值设备停止服务，而且可能需要付出相当大的努力才能通过手动重新刷新固件来恢复运行，具有非常高的勒索攻击风险。测序仪对于检测遗传疾病、癌症、识别耐药细菌和生产疫苗至关重要。这将使这些设备可能成为具有地缘政治动机的攻击者的目标，以及勒索软件行为者更传统的经济动机。