Mirth Connect là một công cụ giao diện đa nền tảng được sử dụng rộng rãi mà các tổ chức chăm sóc sức khỏe sử dụng để quản lý thông tin. Lỗ hổng CVE-2023-43208 ảnh hưởng đến sản phẩm nguồn mở, là sự cố trong quá trình Deserialization có thể cho phép các tác nhân đe dọa không được xác thực thực thi mã từ xa.

Lỗ hổng này được phát hiện lần đầu vào tháng 10/2023, khi công ty an ninh mạng Horizon3.ai cảnh báo về tác động tiềm tàng của nó đối với các công ty chăm sóc sức khỏe. CVE-2023-43208 xảy ra do việc cập nhật bản sửa lỗi chưa hoàn chỉnh của lỗ hổng CVE-2023-37679.

Horizon3.ai mô tả lỗ hổng dễ bị khai thác và cảnh báo rằng “những kẻ tấn công rất có thể sẽ khai thác lỗ hổng này để truy cập ban đầu hoặc xâm phạm dữ liệu chăm sóc sức khỏe nhạy cảm”.

Công ty an ninh mạng này đã cung cấp các chi tiết kỹ thuật và mã bằng chứng khái niệm (PoC) vào giữa tháng 01/2024. Vài ngày sau, tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (Hoa Kỳ) báo cáo phát hiện hơn 440 trường hợp sự cố có vẻ như bị ảnh hưởng bởi lỗ hổng CVE-2023- 43208.

CISA đã thêm lỗ hổng CVE-2023-43208 vào danh mục KEV của mình và hướng dẫn các cơ quan chính phủ giải quyết vấn đề này trước ngày 10/6. Việc khai thác CVE-2023-37679 và CVE-2023-43208 đã được Microsoft đề cập vào tháng 4 trong một báo cáo ngắn gọn về các cuộc tấn công mã độc tống tiền mà gã khổng lồ công nghệ này đã phát hiện trong quý đầu tiên của năm 2024.

Vào thời điểm đó, Microsoft cho biết Mirth Connect và các lỗ hổng khác đã bị khai thác để truy cập ban đầu bởi nhóm tội phạm mạng có tên là Storm-1175 đến từ Trung Quốc, nhóm này được biết đến với khả năng triển khai mã độc tống tiền Medusa.