Erkennung von CVE-2023-43208: NextGens Mirth Connect RCE-Schwachstelle setzt Gesundheitsdaten Risiken aus
Inhaltsverzeichnis:
Schwachstellen, die beliebte Software betreffen, setzen Tausende von Organisationen in verschiedenen Branchen schweren Bedrohungen aus. Der Oktober war reich an der Entdeckung kritischer Sicherheitslücken in weit verbreiteten Softwareprodukten wie CVE-2023-4966, einer gefährlichen Citrix NetScaler-Schwachstelle, und CVE-2023-20198 , einem Zero-Day, der Cisco IOS XE betrifft. In den letzten Tagen des Oktobers 2023 warnten Verteidiger die globale Gemeinschaft vor einer weiteren kritischen Schwachstelle, die Mirth Connect betrifft, die Open-Source-Integrations-Engine, die von Tausenden von Gesundheitsdienstleistern genutzt wird. Der aufgedeckte Sicherheitsfehler setzt sensible Gesundheitsdaten dem Risiko einer Kompromittierung aus.
Erkennung von CVE-2023-43208
Um die Bedrohungsermittlung zu optimieren und Sicherheitsfachleuten bei der Erkennung möglicher Exploitation-Versuche von CVE-2023-43208 zu helfen, bietet die SOC Prime-Plattform für kollektive Cybersicherheit eine kuratierte Erkennungsregel, die mit 28 nativen Formaten von SIEM, EDR, XDR und Data Lake sowie Sigma kompatibel ist. Die Regel ist dem MITRE ATT&CK-Framework zugeordnet und adressiert Taktiken zur Privilegieneskalation, wobei die Ausnutzung zur Privilegieneskalation (T1068) als Haupttechnik dient.
Um die gesamte Sammlung von Sigma-Regeln zur Erkennung aktueller CVEs zu durchstöbern und relevante Bedrohungsinformationen einzusehen, klicken Sie auf den Erkennungen erkunden Button unten.
Analyse von CVE-2023-43208
Gesundheitsdienstleister, die auf NextGen HealthCares plattformübergreifende Open-Source-Datenintegrationslösung Mirth Connect setzen, wird dringend empfohlen, die Software sofort auf die neueste Version zu aktualisieren, aufgrund der sofortigen Offenlegung einer neuartigen RCE-Schwachstelle, die als CVE-2023-43208.
gekennzeichnet ist. Alle Mirth Connect-Instanzen vor Version 4.4.1 gelten als anfällig für den aufgedeckten Sicherheitsfehler. Die Schwachstelle ist das Ergebnis eines unvollständigen Patches einer zuvor entdeckten RCE-Schwachstelle, die Mirth Connect v4.3.0 betrifft, bekannt als CVE-2023-37679, mit einem CVSS-Wert von 9.8.
CVE-2023-43208 kann von Angreifern ausgenutzt werden, um einen ersten Zugang zum System zu erlangen, was weiter zur Kompromittierung kritischer Gesundheitsdaten führen kann. Auf Windows-Systemen, auf denen Mirth Connect am häufigsten bereitgestellt wird und mit Systemrechten läuft, kann CVE-2023-43208 durch Ausführung des Ping-Befehls auf einem Windows-Host ausgenutzt werden, wie die Forschung von Horizon3.aibesagt. Obwohl der Exploit für CVE-2023-43208 derzeit nicht öffentlich verfügbar ist, sind die Exploit-Methoden basierend auf Java XStream weithin anerkannt und gut dokumentiert. Cybersicherheitsforscher haben davon abgesehen, zusätzliche technische Einblicke in den Sicherheitsfehler zu teilen, da sogar frühere Mirth Connect-Versionen von 2015 und 2016 ebenfalls einem Kompromittierungsrisiko ausgesetzt zu sein scheinen.
Aufgrund der weit verbreiteten Kenntnis der Exploit-Methoden von CVE-2023-43208 wird dringend empfohlen, Mirth Connect auf Version 4.4.1 zu aktualisieren, um die Risiken zu minimieren und Proaktivität gegenüber Exploit-Versuchen zu zeigen. Seien Sie offensiven Kampagnen einen Schritt voraus mit Zugriff auf die neuesten Erkennungsalgorithmen vom Threat Detection Marketplace gegen CVEs, Zero-Days und aufkommende Angriffe jeglichen Ausmaßes.
