Агентство кибербезопасности и безопасности инфраструктуры США (CISA) добавило новую уязвимость в свой список известных эксплуатируемых уязвимостей (KEV), предупредив правительственные учреждения и другие компании об активной эксплуатации в дикой природе.
Последним дополнением является уязвимость выполнения кода с проверкой подлинности, обнаруженная в NextGen Healthcare Mirth Connect. Он указан как CVE-2023-43208 и еще не имеет уровня серьезности.
NextGen Healthcare Mirth Connect — это механизм интеграции с открытым исходным кодом, который в основном используется в ИТ-системах здравоохранения для обмена медицинскими данными между различными системами. Он обеспечивает совместимость между различными медицинскими приложениями и обеспечивает безопасную и эффективную передачу данных через стандартизированные протоколы и форматы, такие как HL7, DICOM и FHIR.
Никаких подробностей об ошибке
Сообщается, что эта уязвимость возникла как побочный эффект попытки компании исправить предыдущую ошибку критической серьезности, отслеживаемую как CVE-2023-37679. Эта уязвимость уровня 9.8 также описывалась как удаленное выполнение кода перед аутентификацией и была исправлена в августе прошлого года.
Помимо добавления уязвимости в список KEV, CISA очень мало рассказала о ней. Поэтому мы не знаем, кто являются субъектами угрозы, как они используют угрозу, кто являются жертвами и сколько их.
CISA предоставила федеральным агентствам срок до 10 июня для обновления своих конечных точек и перевода Mirth Connect на версию 4.1.1.
Учитывая конфиденциальность информации, которой они управляют, организации здравоохранения относятся к числу наиболее уязвимых организаций из всех. Киберпреступники могут использовать конфиденциальные данные в качестве оружия несколькими способами: от продажи их с целью получения прибыли на черном рынке до вымогательства денег у компаний-жертв.
Когда организации здравоохранения теряют данные в результате кибератаки, они теряют доверие своих пациентов, что в конечном итоге приводит к потере бизнеса. С другой стороны, законодатели и органы по надзору за данными могут потребовать значительных инвестиций в меры кибербезопасности, а также штрафов за потерю данных пациентов, что также приведет к снижению доходов.
Больше от TechRadar Pro
