Folgen 
Schwachstellen, die beliebte Software betreffen, setzen Tausende von Organisationen in verschiedenen Branchen schweren Bedrohungen aus. Der Oktober war reich an der Entdeckung kritischer Sicherheitslücken in weit verbreiteten Softwareprodukten wie CVE-2023-4966, einer gefährlichen Citrix NetScaler-Schwachstelle, und CVE-2023-20198 , einem Zero-Day, der Cisco IOS XE betrifft. In den letzten Tagen des Oktobers 2023 warnten Verteidiger die globale Gemeinschaft vor einer weiteren kritischen Schwachstelle, die Mirth Connect betrifft, die Open-Source-Integrations-Engine, die von Tausenden von Gesundheitsdienstleistern genutzt wird. Der aufgedeckte Sicherheitsfehler setzt sensible Gesundheitsdaten dem Risiko einer Kompromittierung aus.
Erkennung von CVE-2023-43208
Um die Bedrohungsermittlung zu optimieren und Sicherheitsfachleuten bei der Erkennung möglicher Exploitation-Versuche von CVE-2023-43208 zu helfen, bietet die SOC Prime-Plattform für kollektive Cybersicherheit eine kuratierte Erkennungsregel, die mit 28 nativen Formaten von SIEM, EDR, XDR und Data Lake sowie Sigma kompatibel ist. Die Regel ist dem MITRE ATT&CK-Framework zugeordnet und adressiert Taktiken zur Privilegieneskalation, wobei die Ausnutzung zur Privilegieneskalation (T1068) als Haupttechnik dient.
Um die gesamte Sammlung von Sigma-Regeln zur Erkennung aktueller CVEs zu durchstöbern und relevante Bedrohungsinformationen einzusehen, klicken Sie auf den Erkennungen erkunden Button unten.
Analyse von CVE-2023-43208
Gesundheitsdienstleister, die auf NextGen HealthCares plattformübergreifende Open-Source-Datenintegrationslösung Mirth Connect setzen, wird dringend empfohlen, die Software sofort auf die neueste Version zu aktualisieren, aufgrund der sofortigen Offenlegung einer neuartigen RCE-Schwachstelle, die als CVE-2023-43208.
gekennzeichnet ist. Alle Mirth Connect-Instanzen vor Version 4.4.1 gelten als anfällig für den aufgedeckten Sicherheitsfehler. Die Schwachstelle ist das Ergebnis eines unvollständigen Patches einer zuvor entdeckten RCE-Schwachstelle, die Mirth Connect v4.3.0 betrifft, bekannt als CVE-2023-37679, mit einem CVSS-Wert von 9.8.
CVE-2023-43208 kann von Angreifern ausgenutzt werden, um einen ersten Zugang zum System zu erlangen, was weiter zur Kompromittierung kritischer Gesundheitsdaten führen kann. Auf Windows-Systemen, auf denen Mirth Connect am häufigsten bereitgestellt wird und mit Systemrechten läuft, kann CVE-2023-43208 durch Ausführung des Ping-Befehls auf einem Windows-Host ausgenutzt werden, wie die Forschung von Horizon3.aibesagt. Obwohl der Exploit für CVE-2023-43208 derzeit nicht öffentlich verfügbar ist, sind die Exploit-Methoden basierend auf Java XStream weithin anerkannt und gut dokumentiert. Cybersicherheitsforscher haben davon abgesehen, zusätzliche technische Einblicke in den Sicherheitsfehler zu teilen, da sogar frühere Mirth Connect-Versionen von 2015 und 2016 ebenfalls einem Kompromittierungsrisiko ausgesetzt zu sein scheinen.
Aufgrund der weit verbreiteten Kenntnis der Exploit-Methoden von CVE-2023-43208 wird dringend empfohlen, Mirth Connect auf Version 4.4.1 zu aktualisieren, um die Risiken zu minimieren und Proaktivität gegenüber Exploit-Versuchen zu zeigen. Seien Sie offensiven Kampagnen einen Schritt voraus mit Zugriff auf die neuesten Erkennungsalgorithmen vom Threat Detection Marketplace gegen CVEs, Zero-Days und aufkommende Angriffe jeglichen Ausmaßes.
