CVE-2023-43208 Detection: NextGen’s Mirth Connect RCE Vulnerability Exposes Healthcare Data to Risks

人気のあるソフトウェアに影響を与える脆弱性は、さまざまな業界の数千もの組織を深刻な脅威にさらしています。10月は、広く使用されているソフトウェア製品における重要なセキュリティ欠陥の発見が豊富でした。例えば、 CVE-2023-4966、危険なCitrix NetScalerの脆弱性と CVE-2023-20198 があります。この10月の末、ディフェンダーは、何千もの医療提供者によって活用されているオープンソース統合エンジンMirth Connectに影響を与えるもう一つの重大な脆弱性について、国際社会に警告しました。その明らかにされたセキュリティバグは、機密医療データを妥協のリスクにさらします。

CVE-2023-43208を検出

脅威調査を効率化し、セキュリティ専門家がCVE-2023-43208の搾取の試みを検出するのを支援するために、集合的なサイバー防御のためのSOC Primeプラットフォームは、28のSIEM、EDR、XDR、データレイクのネイティブ形式およびSigmaに互換性のあるキュレーションされた検出ルールを提供します。このルールは、MITRE ATT&CKフレームワークにマッピングされ、特権昇格のための搾取（T1068）を主要な技術として扱い、特権昇格戦術を説明しています。

CVE-2023-43208の可能性のある（NextGen Mirth Connectリモートコード実行の脆弱性）搾取の試み（process_creation経由）

トレンドのCVE検出を目的としたSigmaルールのコレクション全体を閲覧し、関連する脅威インテリジェンスを深めるには、 検出を探る 下のボタンをクリックしてください。

検出を探る

CVE-2023-43208の分析

NextGen HealthCareのオープンソースデータ統合クロスプラットフォームMirth Connectソリューションに依存する医療提供者は、最新のRCE脆弱性として追跡されている即時公開の結果として、ソフトウェアを最新バージョンに直ちに更新することが強く推奨されます。 CVE-2023-43208.

バージョン4.4.1以前のすべてのMirth Connectインスタンスは、明らかになったセキュリティバグに対して脆弱であると考えられます。この脆弱性は、CVE-2023-37679として知られる、以前に発見されたRCE脆弱性を不完全にパッチした結果であり、CVSSスコアは9.8です。

CVE-2023-43208は、攻撃者がシステムに初期アクセスを得るために悪用でき、それによって重要な医療データの妥協にさらに繋がる可能性があります。Mirth Connectが最も一般的に展開され、システム特権で実行されるWindowsシステムでは、CVE-2023-43208はWindowsホストでpingコマンドを実行することで兵器化され得ると Horizon3.aiの研究は述べています。CVE-2023-43208のエクスプロイトは現在公に利用可能ではありませんが、Java XStreamに基づく搾取方法は広く認識され、十分に文書化されています。サイバーセキュリティの研究者たちは、さらなる技術的な洞察を共有することを控えています。Mirth Connectの2015年および2016年の以前のバージョンであっても危険にさらされている可能性があるためです。

CVE-2023-43208の搾取方法に関する知識が広まっているため、Mirth Connectをバージョン4.4.1に更新し、リスクを最小化し、搾取の試みを積極的に検出することが強く推奨されます。 Threat Detection Marketplace から最新の検出アルゴリズムにアクセスして、あらゆる規模のCVE、ゼロデイ、および新たな攻撃に先んじることができます。