Под конец года подкатили не очень утешительные новости: cерьез | SecAtor

Под конец года подкатили не очень утешительные новости: cерьезная уязвимость MongoDB под названием MongoBleed (CVE-2025-14847) активно эксплуатируется и затрагивает более 80 000 потенциально уязвимых серверов в открытом доступе в сети Интернет.

Доступен PoC и все сопутствующие технические подробности, как можно прикрутить уязвимость для удаленного извлечения секретов, учетных данных и других конфиденциальных данных с незащищенного сервера MongoDB.

MongoBleed связана с тем, как сервер MongoDB обрабатывает сетевые пакеты, используемые библиотекой zlib для сжатия данных без потерь.

Исследователи из Ox Security объясняют, что проблема вызвана тем, что MongoDB возвращает объем выделенной памяти при обработке сетевых сообщений вместо длины распакованных данных.

Злоумышленник может отправить некорректно сформированное сообщение, заявив о большем размере после декомпрессии, что заставит сервер выделить больший буфер памяти и передать клиенту данные из оперативной памяти, содержащие конфиденциальную информацию.

Утечка секретов таким образом может включать в себя учетные данные, ключи API и/или облачных сервисов, токены сессий, персональные данные, внутренние журналы, конфигурации, пути и данные, связанные с клиентами.

Поскольку декомпрессия сетевых сообщений происходит до этапа аутентификации, злоумышленнику, использующему MongoBleed, не требуются действительные учетные данные.

При этом выпущенный исследователями Elastic общедоступный PoC специально создан для кражи конфиденциальных данных из памяти.

В свою очередь, Кевин Бомонт утверждает, что PoC является эффективным и требует лишь IP-адреса экземпляра MongoDB, чтобы начать извлекать из памяти такие данные, как пароли к базам данных (которые представляют собой открытый текст), секретные ключи AWS и т.д.

Согласно телеметрии Censys, по состоянию на 27 декабря в открытом доступе в Интернете находилось более 87 000 потенциально уязвимых экземпляров MongoDB.

Наибольшее число - в США, где выявлено 20 000 серверов MongoDB, за ними Китай с 17 000 и Германия с 8 000.

В России - почти 2000.

Влияние на всю облачную среду оценивается как значительное.

В, частности, как отмечают в Wiz, 42% видимых систем имеют как минимум один экземпляр MongoDB в версии, уязвимой для CVE-2025-14847.

При этом ими уже фиксируется активная эксплуатация MongoBleed в реальных условиях.

Предполагается, что злоумышленники умело препарировали MongoBleed в рамках недавнего взлома онлайн-платформы Range Six Siege от Ubisoft.

MongoDB устранила MongoBleed десять дней назад, настоятельно рекомендовав администраторам обновиться до безопасной версии (8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 или 4.4.30).

Но Recon InfoSec предупреждает, что установка патчей - это лишь часть решения проблемы MongoBleed, советуя организациям также проверять наличие признаков компрометации.

Исследователи, что радует, уже разработали MongoBleed Detector, инструмент, который анализирует журналы MongoDB и выявляет потенциальные возможности эксплуатации уязвимости CVE-2025-14847.

В основу лег метод обнаружения от исследователя Капуано который был имплементирован Флорианом Ротом в полноценную утилиту.

Обходного пути для этой уязвимости нет.

Если переход на новую версию невозможен, поставщик рекомендует клиентам отключить сжатие zlib на сервере и предоставляет инструкции по этому поводу.

К безопасным альтернативам для сжатия данных без потерь относятся Zstandard (zstd) и Snappy (ранее Zippy).