Les utilisateurs de Joie de se connecterune plate-forme d’intégration de données open source de NextGen HealthCare, est invitée à mettre à jour vers la dernière version suite à la découverte d’une vulnérabilité d’exécution de code à distance non authentifiée.
Suivi comme CVE-2023-43208la vulnérabilité a été corrigée dans version 4.4.1 sorti le 6 octobre 2023.
« Il s’agit d’une vulnérabilité d’exécution de code à distance non authentifiée et facilement exploitable », Naveen Sunkavally d’Horizon3.ai. dit dans un rapport de mercredi. « Les attaquants exploiteraient très probablement cette vulnérabilité pour un premier accès ou pour compromettre des données de santé sensibles. »
Appelé le « couteau suisse de l’intégration des soins de santé », Mirth Connect est un moteur d’interface multiplateforme utilisé dans le secteur de la santé pour communiquer et échanger des données entre des systèmes disparates de manière manière standardisée.
Des détails techniques supplémentaires sur la faille ont été retenus étant donné que les versions de Mirth Connect remontant à 2015/2016 se sont révélées vulnérables au problème.
Il convient de noter que CVE-2023-43208 est un contournement de correctif pour CVE-2023-37679 (score CVSS : 9,8), une vulnérabilité critique d’exécution de commandes à distance (RCE) dans le logiciel qui permet aux attaquants d’exécuter des commandes arbitraires sur le serveur d’hébergement.
Alors que CVE-2023-37679 a été décrit par ses responsables comme affectant uniquement les serveurs exécutant Java 8, l’analyse d’Horizon3.ai a révélé que toutes les instances de Mirth Connect, quelle que soit la version de Java, étaient sensibles au problème.
Compte tenu de la facilité avec laquelle la vulnérabilité peut être exploitée de manière triviale, couplée au fait que les méthodes d’exploitation sont bien connues, il est recommandé de mettre à jour Mirth Connect, en particulier ceux qui sont accessibles au public sur Internet, vers la version 4.4.1 dès que possible pour atténuer les menaces potentielles.