Detección de CVE-2023-43208: La Vulnerabilidad de RCE de Mirth Connect de NextGen Expone Datos de Salud a Riesgos
Tabla de contenidos:
Las vulnerabilidades que afectan a software popular exponen a miles de organizaciones en diversos sectores de la industria a amenazas severas. Octubre ha sido rico en descubrir fallos crÃticos de seguridad en productos de software ampliamente utilizados, como CVE-2023-4966, una peligrosa vulnerabilidad de Citrix NetScaler, y CVE-2023-20198 un dÃa cero que afecta a Cisco IOS XE. En la última década de octubre de 2023, los defensores advirtieron a la comunidad global sobre otra vulnerabilidad crÃtica que impacta Mirth Connect, el motor de integración de código abierto utilizado por miles de proveedores de atención médica. El error de seguridad descubierto expone datos sensibles de atención médica a los riesgos de compromiso.
Detectar CVE-2023-43208
Para agilizar la investigación de amenazas y ayudar a los profesionales de seguridad a detectar posibles intentos de explotación del CVE-2023-43208, la Plataforma SOC Prime para defensa cibernética colectiva ofrece una regla de detección curada compatible con 28 formatos nativos SIEM, EDR, XDR y Data Lake, asà como Sigma. La regla está mapeada al marco MITRE ATT&CK abordando tácticas de Escalada de Privilegios, con Explotación para Escalada de Privilegios (T1068) como técnica principal.
Para explorar toda la colección de reglas Sigma destinadas a la detección de CVE en tendencia e investigar las inteligencias de amenazas relevantes, haga clic en el Explorar Detecciones botón de abajo.
Análisis de CVE-2023-43208
Se recomienda encarecidamente a los proveedores de atención médica que dependen de la solución de integración de datos de código abierto multiplataforma Mirth Connect de NextGen HealthCare, que actualicen inmediatamente el software a la última versión como resultado de la divulgación instantánea de una nueva vulnerabilidad RCE rastreada como CVE-2023-43208.
Se considera que todas las instancias de Mirth Connect antes de la versión 4.4.1 son vulnerables al error de seguridad revelado. La vulnerabilidad es el resultado de un parche incompleto de una vulnerabilidad RCE descubierta previamente que afecta a Mirth Connect v4.3.0 conocida como CVE-2023-37679 con un puntaje CVSS de 9.8.
CVE-2023-43208 puede ser explotado por adversarios para obtener acceso inicial al sistema, llevando además al compromiso de datos crÃticos de atención médica. En sistemas Windows, donde Mirth Connect parece ser desplegado y ejecutado comúnmente con privilegios del Sistema, CVE-2023-43208 puede ser utilizado al ejecutar el comando ping en un host de Windows, como indica la investigación de Horizon3.ai. Aunque el exploit para CVE-2023-43208 actualmente no está disponible públicamente, los métodos de explotación basados en Java XStream son ampliamente reconocidos y bien documentados. Los investigadores de ciberseguridad han evitado compartir más detalles técnicos sobre el error de seguridad debido al hecho de que incluso versiones anteriores de Mirth Connect de 2015 y 2016 parecen estar también en riesgo de compromiso.
Debido al conocimiento generalizado de los métodos de explotación del CVE-2023-43208, se aconseja encarecidamente actualizar Mirth Connect a la versión 4.4.1 para minimizar los riesgos, asà como detectar proactivamente intentos de explotación. Manténgase adelante de cualquier campaña ofensiva con acceso a los últimos algoritmos de detección del Mercado de Detección de Amenazas contra CVEs, dÃas cero, y cualquier ataque emergente de cualquier escala.
