Rilevamento CVE-2023-43208: La Vulnerabilità RCE di Mirth Connect di NextGen Espone i Dati Sanitari a Rischi

Le vulnerabilità che colpiscono software popolari espongono migliaia di organizzazioni in diversi settori industriali a minacce gravi. Questo ottobre è stato ricco di scoperte di falle critiche di sicurezza in prodotti software ampiamente utilizzati, come CVE-2023-4966, una pericolosa vulnerabilità di Citrix NetScaler, e CVE-2023-20198 zero-day che colpisce Cisco IOS XE. Nell’ultima decade di ottobre 2023, i difensori hanno avvertito la comunità globale di un’altra vulnerabilità critica che impatta Mirth Connect, il motore di integrazione open-source utilizzato da migliaia di fornitori di servizi sanitari. Il bug di sicurezza rivelato espone dati sanitari sensibili ai rischi di compromissione.

Rileva CVE-2023-43208

Per semplificare l’indagine sulle minacce e aiutare i professionisti della sicurezza a rilevare potenziali tentativi di sfruttamento del CVE-2023-43208, la piattaforma SOC Prime per la difesa cibernetica collettiva offre una regola di rilevamento curata compatibile con 28 formati nativi di SIEM, EDR, XDR e Data Lake oltre che con Sigma. La regola è mappata sul framework MITRE ATT&CK affrontando le tattiche di Escalation dei privilegi, con l’Exploitation per l’Elevazione dei privilegi (T1068) come tecnica principale.

Possibile tentativo di sfruttamento di CVE-2023-43208 (Vulnerabilità di esecuzione di codice remoto NextGen Mirth Connect) (tramite process_creation)

Per visualizzare l’intera collezione di regole Sigma mirate alla rilevazione di CVE in tendenza e approfondire le informazioni rilevanti sulle minacce, clicca sul pulsante Esplora rilevamenti qui sotto.

Esplora rilevamenti

Analisi di CVE-2023-43208

È fortemente raccomandato ai fornitori di servizi sanitari che si affidano alla soluzione di integrazione dati cross-platform open-source NextGen HealthCare Mirth Connect di aggiornare immediatamente il software all’ultima versione a causa della divulgazione immediata di una nuova vulnerabilità RCE tracciata come CVE-2023-43208.

Tutte le istanze di Mirth Connect precedenti alla versione 4.4.1 sono considerate vulnerabili al bug di sicurezza rivelato. La vulnerabilità è il risultato di una patch incompleta di una vulnerabilità RCE scoperta in precedenza che colpisce Mirth Connect v4.3.0 nota come CVE-2023-37679 con un punteggio CVSS di 9.8.

CVE-2023-43208 può essere sfruttato da avversari per ottenere l’accesso iniziale al sistema, portando ulteriormente alla compromissione di dati sanitari critici. Su sistemi Windows, dove Mirth Connect è più comunemente distribuito e opera con privilegi di sistema, CVE-2023-43208 può essere strumentalizzato eseguendo il comando ping su un host Windows, come afferma la ricerca Horizon3.ai. Sebbene l’exploit per CVE-2023-43208 non sia attualmente disponibile pubblicamente, i metodi di sfruttamento basati su Java XStream sono ampiamente riconosciuti e ben documentati. I ricercatori di cybersecurity si sono astenuti dal condividere ulteriori intuizioni tecniche sul bug di sicurezza poiché anche le versioni precedenti di Mirth Connect del 2015 e del 2016 sembrano essere a rischio di compromissione.

Data la diffusione della conoscenza dei metodi di sfruttamento di CVE-2023-43208, è fortemente consigliato aggiornare Mirth Connect alla versione 4.4.1 per ridurre i rischi, oltre a rilevare proattivamente i tentativi di sfruttamento. Rimani avanti a qualsiasi campagna offensiva accedendo agli ultimi algoritmi di rilevamento dal Threat Detection Marketplace contro CVE, zero-day e attacchi emergenti di qualsiasi scala.