CVE-2023-43208 탐지: NextGen의 Mirth Connect RCE 취약점으로 인해 의료 데이터가 위험에 노출되다

인기 있는 소프트웨어에 영향을 미치는 취약점은 다양한 산업 부문의 수천 개 조직을 심각한 위협에 노출시킵니다. 10월에는 널리 사용되는 소프트웨어 제품에서 중요한 보안 결함이 다수 발견되었습니다. 예를 들어 CVE-2023-4966, 위험한 Citrix NetScaler 취약점, 그리고 CVE-2023-20198 은 Cisco IOS XE에 영향을 미치는 제로데이 취약점입니다. 2023년 10월 말에 방어자들은 수천 명의 의료 서비스 제공자가 활용하는 오픈 소스 통합 엔진인 Mirth Connect에 영향을 미치는 또 다른 중요한 취약점에 대해 전 세계 커뮤니티에 경고했습니다. 드러난 보안 결함은 민감한 의료 데이터를 손상 위험에 노출시킵니다.

CVE-2023-43208 탐지

위협 조사를 간소화하고 보안 전문가들이 잠재적인 CVE-2023-43208의 악용 시도를 탐지하도록 돕기 위해, SOC Prime Platform은 28개의 SIEM, EDR, XDR 및 데이터 레이크 네이티브 포맷과 Sigma에 호환되는 큐레이션 감지 규칙을 제공합니다. 이 규칙은 MITRE ATT&CK 프레임워크에 매핑되어 있으며 권한 상승 전술을 주소로 하며, 주된 기술은 권한 상승을 위한 악용(T1068)입니다.

CVE-2023-43208(NextGen Mirth Connect 원격 코드 실행 취약점) 악용 시도 가능성(프로세스 생성 기반)

트렌딩 CVE 탐지를 목표로 하는 Sigma 규칙의 전체 컬렉션을 탐색하고 관련 위협 인텔리전스를 깊이 있게 파악하려면 탐지 탐색 버튼을 아래에서 클릭하세요.

탐지 탐색

CVE-2023-43208 분석

NextGen HealthCare의 오픈 소스 데이터 통합 크로스 플랫폼 Mirth Connect 솔루션에 의존하는 의료 서비스 제공자들은 새로운 RCE 취약점인 CVE-2023-43208.

로 추적되는 즉각적인 공개가 발생함에 따라 즉시 소프트웨어를 최신 버전으로 업데이트할 것을 강력히 추천합니다. 버전 4.4.1 이전의 모든 Mirth Connect 인스턴스는 드러난 보안 결함에 취약한 것으로 간주됩니다. 이 취약점은 CVSS 점수 9.8의 CVE-2023-37679로 알려진 Mirth Connect v4.3.0에 영향을 미치는 이전에 발견된 RCE 취약점에 대한 불완전한 패치의 결과입니다.

CVE-2023-43208은 시스템에 처음 접근하기 위해 적들에 의해 악용될 수 있으며, 이는 궁극적으로 중요한 의료 데이터의 손상으로 이어질 수 있습니다. Mirth Connect가 가장 흔히 배포되고 시스템 권한으로 실행되는 Windows 시스템에서는 CVE-2023-43208이 Windows 호스트에서 ping 명령을 실행하여 무기화될 수 있다고 Horizon3.ai 연구는 밝히고 있습니다. 아직 CVE-2023-43208에 대한 공개된 익스플로잇은 없으나, Java XStream에 기반한 악용 방법은 널리 알려져 있고 잘 문서화되어 있습니다. 사이버 보안 연구자들은 2015년 및 2016년의 Mirth Connect 버전도 손상 위험이 있는 것으로 보이기 때문에 보안 결함에 대한 추가 기술 정보를 공유하는 것을 삼가고 있습니다.

CVE-2023-43208의 악용 방법에 대한 널리 퍼진 지식 때문에 Mirth Connect를 버전 4.4.1로 업데이트하고 위험을 최소화하며 악용 시도를 적극적으로 탐지할 것을 강력히 권장합니다. CVE, 제로데이 및 모든 규모의 새로운 공격에 대한 최신 탐지 알고리즘 접근으로 모든 공격 캠페인에 앞서있으십시오. 위협 탐지 마켓플레이스 로부터의 접근을 통해 최신 탐지 알고리즘의 이점을 누리십시오.