MongoBleed, o vulnerabilitate care dezvăluie secrete MongoDB; mii de servere expuse

O vulnerabilitate severă care afectează mai multe versiuni de MongoDB, denumită MongoBleed (CVE-2025-14847), este exploatată activ, peste 80.000 de servere potențial vulnerabile fiind expuse public.

Pe internet sunt disponibile detalii tehnice care arată cum atacatorii pot declanșa vulnerabilitatea pentru a extrage de la distanță secrete, acreditări și alte date sensibile de pe un server MongoDB expus.

Vulnerabilității i s-a atribuit un scor de severitate de 8,7 și a fost tratată ca o „corecție critică”, cu un patch disponibil din 19 decembrie.

Vulnerabilitatea MongoBleed permite scurgeri de informații secrete

Vulnerabilitatea MongoBleed provine din modul în care serverul MongoDB gestionează pachetele de rețea procesate de biblioteca zlib pentru compresia datelor fără pierderi.

Cercetătorii de la Ox Security explică faptul că problema este cauzată de returnarea, de către MongoDB, a cantității de memorie alocate atunci când procesează mesaje de rețea, în loc de lungimea datelor decomprimate.

Un atacator ar putea trimite un mesaj incorect, care pretinde că are o dimensiune mai mare atunci când este decomprimat, determinând serverul să aloce un buffer de memorie mai mare și să scurgă către client date din memorie care conțin informații sensibile.

Tipul de date confidențiale scurse în acest mod poate varia de la acreditări, chei API și/sau cloud, tokenuri de sesiune, informații de identificare personală (PII), jurnale interne, configurații, căi și date legate de client.

Deoarece decompresia mesajelor de rețea are loc înainte de etapa de autentificare, un atacator care exploatează MongoBleed nu are nevoie de acreditări valide.

Vulnerabilitatea, denumită „MongoBleed”, este creată special pentru a scurge date sensibile din memorie.

Cercetătorul în securitate Kevin Beaumont afirmă că codul exploitului de tip PoC este valid și că necesită doar „o adresă IP a unei instanțe MongoDB pentru a începe să descopere în memorie lucruri precum parolele bazei de date (care sunt în text simplu), chei secrete AWS etc.”.

Conform platformei Censys, la data de 27 decembrie existau peste 87.000 de instanțe MongoDB potențial vulnerabile, expuse pe internetul public.

Aproape 20.000 de servere MongoDB au fost observate în Statele Unite, urmate de China, cu aproape 17.000, și Germania, cu puțin sub 8.000.

Exploatare și detectare

Impactul asupra mediului cloud pare, de asemenea, semnificativ, deoarece datele de telemetrie de la platforma de securitate cloud Wiz au arătat că 42% dintre sistemele vizibile „au cel puțin o instanță MongoDB într-o versiune vulnerabilă la CVE-2025-14847”.

Echipa Wiz notează că instanțele observate au inclus atât resurse interne, cât și resurse expuse public. Compania afirmă că a observat exploatarea MongoBleed (CVE-2025-14847) în mediul real și recomandă organizațiilor să acorde prioritate aplicării patch-urilor.

Unii hackeri susțin că au folosit defectul MongoBleed într-o breșă recentă a platformei online Rainbow Six Siege de la Ubisoft.

Cofondatorul Recon InfoSec, Eric Capuano, avertizează că aplicarea patch-urilor este doar o parte a răspunsului la problema MongoBleed și sfătuiește organizațiile să verifice și semnele de compromitere.

Într-o postare pe blog, cercetătorul explică o metodă de detectare care include căutarea „unui IP sursă cu sute sau mii de conexiuni, dar zero evenimente de metadate”.

Cu toate acestea, Capuano avertizează că detectarea se bazează pe codul de exploatare proof-of-concept disponibil în prezent și că un atacator l-ar putea modifica pentru a include metadate false ale clientului sau pentru a reduce viteza de exploatare.

Instrumente sigure de compresie fără pierderi

MongoDB a remediat vulnerabilitatea MongoBleed în urmă cu zece zile, cu o recomandare fermă pentru administratori de a face upgrade la o versiune sigură.

Furnizorul avertizează că o listă lungă de versiuni MongoDB este afectată de MongoBleed (CVE-2025-14847), unele versiuni vechi fiind lansate încă de la sfârșitul anului 2017, iar altele chiar mai recent, în noiembrie 2025.

MongoDB afirmă că nu există o soluție alternativă pentru această vulnerabilitate. Dacă trecerea la o versiune nouă nu este posibilă, furnizorul recomandă clienților să dezactiveze compresia zlib pe server și oferă instrucțiuni despre cum să facă acest lucru.