Détection CVE-2023-43208 : La vulnérabilité RCE de Mirth Connect de NextGen expose les données de santé à des risques

Les vulnérabilités affectant les logiciels populaires exposent des milliers d’organisations dans divers secteurs industriels à des menaces graves. Octobre a été riche en découvertes de failles de sécurité critiques dans des produits logiciels largement utilisés, comme CVE-2023-4966, une vulnérabilité dangereuse Citrix NetScaler, et CVE-2023-20198 zero-day affectant Cisco IOS XE. Dans la dernière décennie d’octobre 2023, les défenseurs ont averti la communauté mondiale d’une autre vulnérabilité critique impactant Mirth Connect, le moteur d’intégration open-source utilisé par des milliers de fournisseurs de soins de santé. La faille de sécurité dévoilée expose les données sensibles des soins de santé aux risques de compromission.

Détecter CVE-2023-43208

Pour faciliter l’enquête sur les menaces et aider les professionnels de la sécurité à détecter les tentatives potentielles d’exploitation de CVE-2023-43208, la plateforme SOC Prime pour la défense cybernétique collective propose une règle de détection organisée, compatible avec 28 formats natifs SIEM, EDR, XDR et Data Lake ainsi que Sigma. La règle est mappée au cadre MITRE ATT&CK abordant les tactiques d’Escalade de Privilèges, avec l’Exploitation pour l’Escalade de Privilèges (T1068) comme technique principale.

Tentative d’exploitation possible de CVE-2023-43208 (Vulnérabilité d’exécution de code à distance de NextGen Mirth Connect) (via process_creation)

Pour parcourir l’ensemble de la collection de règles Sigma visant la détection des CVE tendance et plonger dans le renseignement sur les menaces pertinent, cliquez sur le Explorer les Détections bouton ci-dessous.

Explorer les Détections

Analyse de CVE-2023-43208

Il est fortement recommandé aux fournisseurs de soins de santé qui comptent sur la solution d’intégration de données open-source multiplateforme Mirth Connect de NextGen HealthCare de mettre immédiatement à jour le logiciel à la dernière version suite à la divulgation instantanée d’une nouvelle vulnérabilité RCE répertoriée sous CVE-2023-43208.

Toutes les instances de Mirth Connect avant la version 4.4.1 sont considérées comme vulnérables à la faille de sécurité révélée. La vulnérabilité résulte d’un correctif incomplet d’une vulnérabilité RCE découverte antérieurement impactant Mirth Connect v4.3.0 connue sous le nom de CVE-2023-37679 avec un score CVSS de 9,8.

CVE-2023-43208 peut être exploitée par des adversaires pour obtenir un accès initial au système, menant ensuite à la compromission de données critiques de santé. Sur les systèmes Windows, où Mirth Connect semble être le plus couramment déployé et fonctionne avec les privilèges Système, CVE-2023-43208 peut être armé en exécutant la commande ping sur un hôte Windows, comme l’indique la recherche de Horizon3.ai. Bien que l’exploit pour CVE-2023-43208 ne soit actuellement pas publiquement disponible, les méthodes d’exploitation basées sur Java XStream sont largement reconnues et bien documentées. Les chercheurs en cybersécurité se sont abstenus de partager des informations techniques supplémentaires sur la faille de sécurité en raison du fait que même les versions antérieures de Mirth Connect de 2015 et 2016 semblent également à risque de compromission.

En raison de la connaissance généralisée des méthodes d’exploitation de CVE-2023-43208, il est fortement conseillé de mettre à jour Mirth Connect à la version 4.4.1 pour minimiser les risques, ainsi que de détecter de manière proactive les tentatives d’exploitation. Restez en avance sur toute campagne offensive avec accès aux derniers algorithmes de détection du Marché de la Détection des Menaces contre les CVE, les zero-days et toute attaque émergente de toute échelle.