Usuários do Mirth Connect, uma plataforma de integração de dados de código aberto da NextGen HealthCare, estão sendo instigados a atualizar para a versão mais recente após a descoberta de uma vulnerabilidade de execução de código remoto não autenticada.
Rastreada como
CVE-2023-43208
, a vulnerabilidade foi tratada na versão 4.4.1 lançada em 6 de outubro de 2023.
"Essa é uma vulnerabilidade de execução de código remoto não autenticada facilmente explorável," disse Naveen Sunkavally da Horizon3.ai em um relatório de quarta-feira.
"Os invasores aproveitariam mais provavelmente esta vulnerabilidade para acesso inicial ou para comprometer dados sensíveis de saúde."
Chamado de "canivete suíço da integração de saúde," o Mirth Connect é uma interface de plataforma cruzada utilizada na indústria de saúde para comunicar e trocar dados entre sistemas diferentes de uma maneira padronizada.
Detalhes técnicos adicionais sobre a falha foram retidos à luz do fato de que versões do Mirth Connect, chegando até 2015/2016, foram encontradas como vulneráveis ao problema.
Vale ressaltar que o
CVE-2023-43208
é uma evasão de patch para o
CVE-2023-37679
(pontuação CVSS: 9.8), uma vulnerabilidade crítica de execução de comando remoto (RCE) no software que permite aos atacantes executar comandos arbitrários no servidor de hospedagem.
Enquanto o
CVE-2023-37679
foi descrito por seus mantenedores como afetando apenas servidores que executam a versão 8 do Java, a análise da Horizon3.ai encontrou que todas as instâncias do Mirth Connect, independentemente da versão do Java, eram suscetíveis ao problema.
Dada a facilidade com que a vulnerabilidade pode ser trivialmente abusada, juntamente com o fato de os métodos de exploração serem bem conhecidos, é recomendado atualizar o Mirth Connect, especialmente aqueles que são publicamente acessíveis pela internet, para a versão 4.4.1 o mais rápido possível para mitigar possíveis ameaças.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...