Detecção do CVE-2023-43208: Vulnerabilidade RCE no Mirth Connect da NextGen Expõe Dados de Saúde a Riscos

Vulnerabilidades que afetam softwares populares expõem milhares de organizações em diversos setores da indústria a ameaças severas. Outubro foi rico em descobrir falhas críticas de segurança em produtos de software amplamente utilizados, como CVE-2023-4966, uma perigosa vulnerabilidade do Citrix NetScaler, e CVE-2023-20198 zero-day que afeta o Cisco IOS XE. Na última década de outubro de 2023, defensores alertaram a comunidade global sobre outra vulnerabilidade crítica que impacta o Mirth Connect, o motor de integração de código aberto utilizado por milhares de provedores de saúde. A falha de segurança revelada expõe dados sensíveis de saúde aos riscos de comprometimento.

Detectar CVE-2023-43208

Para agilizar a investigação de ameaças e ajudar os profissionais de segurança a detectar tentativas potenciais de exploração de CVE-2023-43208, a Plataforma SOC Prime para defesa cibernética coletiva oferece uma regra de detecção curada compatível com 28 formatos nativos de SIEM, EDR, XDR e Data Lake, bem como Sigma. A regra é mapeada para o framework MITRE ATT&CK abordando táticas de Escalonamento de Privilégios, com Exploração para Escalonamento de Privilégios (T1068) como técnica principal.

Possível Tentativa de Exploração do CVE-2023-43208 (Vulnerabilidade de Execução Remota de Código no Mirth Connect NextGen) (via criação de processo)

Para navegar pela coleção completa de regras Sigma voltadas para a detecção de CVEs em tendência e mergulhar em inteligência de ameaças relevante, clique no Explorar Detecções botão abaixo.

Explorar Detecções

Análise do CVE-2023-43208

Provedores de saúde que dependem da solução multiplataforma de integração de dados de código aberto Mirth Connect da NextGen HealthCare são fortemente recomendados a atualizar imediatamente o software para a versão mais recente como resultado de uma divulgação instantânea de uma nova vulnerabilidade de RCE rastreada como CVE-2023-43208.

Todas as instâncias do Mirth Connect antes da versão 4.4.1 são consideradas vulneráveis à falha de segurança revelada. A vulnerabilidade é resultado de um patch incompleto de uma vulnerabilidade de RCE anteriormente descoberta que impacta o Mirth Connect v4.3.0, conhecida como CVE-2023-37679, com um escore CVSS de 9.8.

CVE-2023-43208 pode ser explorado por adversários para obter acesso inicial ao sistema, levando ainda ao comprometimento de dados críticos de saúde. Em sistemas Windows, onde o Mirth Connect parece ser mais comumente implantado e com privilégios de Sistema, o CVE-2023-43208 pode ser armado executando o comando ping em um host Windows, conforme afirma a pesquisa da Horizon3.ai. Embora o exploit para CVE-2023-43208 atualmente não esteja publicamente disponível, os métodos de exploração baseados em Java XStream são amplamente reconhecidos e bem documentados. Pesquisadores de cibersegurança se abstiveram de compartilhar insights técnicos adicionais sobre a falha de segurança devido ao fato de que até mesmo as versões anteriores do Mirth Connect de 2015 e 2016 parecem estar também em risco de comprometimento.

Devido ao conhecimento disseminado dos métodos de exploração do CVE-2023-43208, é fortemente aconselhado atualizar o Mirth Connect para a versão 4.4.1 para minimizar os riscos, assim como detectar proativamente tentativas de exploração. Fique à frente de qualquer campanha ofensiva com acesso aos mais recentes algoritmos de detecção do Marketplace de Detecção de Ameaças contra CVEs, zero-days e quaisquer ataques emergentes de qualquer escala.