Usuarios de Conexión de alegríauna plataforma de integración de datos de código abierto de NextGen HealthCare, se les insta a actualizar a la última versión tras el descubrimiento de una vulnerabilidad de ejecución remota de código no autenticado.
Seguimiento como CVE-2023-43208la vulnerabilidad se ha abordado en versión 4.4.1 lanzado el 6 de octubre de 2023.
«Esta es una vulnerabilidad de ejecución remota de código no autenticado y fácilmente explotable», Naveen Sunkavally de Horizon3.ai. dicho en un informe del miércoles. «Lo más probable es que los atacantes aprovechen esta vulnerabilidad para obtener acceso inicial o comprometer datos confidenciales de atención médica».
Llamada la «navaja suiza de la integración sanitaria», Mirth Connect es un motor de interfaz multiplataforma utilizado en la industria sanitaria para comunicar e intercambiar datos entre sistemas dispares en un manera estandarizada.
Se han ocultado detalles técnicos adicionales sobre la falla a la luz del hecho de que se ha descubierto que las versiones de Mirth Connect que se remontan a 2015/2016 son vulnerables al problema.
Vale la pena señalar que CVE-2023-43208 es una omisión de parche para CVE-2023-37679 (Puntuación CVSS: 9,8), una vulnerabilidad crítica de ejecución remota de comandos (RCE) en el software que permite a los atacantes ejecutar comandos arbitrarios en el servidor de alojamiento.
Si bien sus mantenedores describieron que CVE-2023-37679 solo afectaba a los servidores que ejecutan Java 8, el análisis de Horizon3.ai encontró que todas las instancias de Mirth Connect, independientemente de la versión de Java, eran susceptibles al problema.
Dada la facilidad con la que se puede abusar trivialmente de la vulnerabilidad, junto con el hecho de que los métodos de explotación son bien conocidos, se recomienda actualizar Mirth Connect, en particular los que son accesibles públicamente a través de Internet, a la versión 4.4.1 lo antes posible para mitigar amenazas potenciales.