Експлоатирана ранливост MongoBleed открива MongoDB тајни, изложени 87.000 сервери

Сериозна ранливост што зафаќа повеќе верзии на MongoDB, наречена MongoBleed (CVE-2025-14847), активно се експлоатира „во дивина“, при што над 80.000 потенцијално ранливи сервери се изложени на јавниот веб.

Достапни се јавен експлоит и придружни технички детали кои покажуваат како напаѓачите можат да ја активираат ранливоста за далечински да извлечат тајни, акредитиви и други чувствителни податоци од изложен MongoDB сервер.

На ранливоста ѝ е доделена сериозност од 8,7 и е третирана како „критична исправка“, при што закрпа е достапна за самохостирани инстанци од 19 декември.

Експлоатацијата открива тајни

Ранливоста MongoBleed произлегува од начинот на кој MongoDB Server ги обработува мрежните пакети преку библиотеката zlib за беззагубна компресија на податоци.

Истражувачите од Ox Security објаснуваат дека проблемот настанува затоа што MongoDB ја враќа количината на алоцирана меморија при обработка на мрежни пораки, наместо должината на декомпресираните податоци.

Заканувач може да испрати неисправна порака која тврди дека има поголема големина по декомпресија, со што серверот ќе алоцира поголем мемориски бафер и ќе протече податоци од меморијата кон клиентот, вклучувајќи чувствителни информации.

Типовите тајни што можат да протечат на овој начин вклучуваат акредитиви, API и/или cloud клучеви, сесиски токени, лично идентификувачки информации (PII), интерни логови, конфигурации, патеки и податоци поврзани со клиенти.

Бидејќи декомпресијата на мрежните пораки се случува пред фазата на автентикација, напаѓач што ја експлоатира MongoBleed не мора да поседува валидни акредитиви.

Јавниот експлоит, објавен како proof‑of‑concept (PoC) под името „MongoBleed“ од истражувачот за безбедност во Elastic, Џо Дезимоне, е специјално создаден за да протекуваат чувствителни мемориски податоци.

Истражувачот за безбедност Кевин Бомонт вели дека PoC експлоит кодот е валиден и дека бара само „IP адреса на MongoDB инстанца за да започне да пребарува по меморијата работи како лозинки за бази на податоци (кои се во обичен текст), тајни AWS клучеви и слично“.

Според платформата Censys за откривање уреди поврзани на интернет, заклучно со 27 декември, имало повеќе од 87.000 потенцијално ранливи MongoDB инстанци изложени на јавниот интернет.

Речиси 20.000 MongoDB сервери биле забележани во Соединетите Американски Држави, по што следи Кина со речиси 17.000, и Германија со нешто помалку од 8.000.

Експлоатација и откривање

Влијанието врз облачната околина исто така се чини значајно, бидејќи телеметријските податоци од облачната безбедносна платформа Wiz покажуваат дека 42% од видливите системи „имаат барем една MongoDB инстанца во верзија ранлива на CVE-2025-14847.“

Истражувачите на Wiz забележуваат дека инстанците што ги набљудувале вклучувале и внатрешни ресурси и јавни изложени. Компанијата наведува дека забележала експлоатација на MongoBleed (CVE-2025-14847) „во дивина“ и препорачува организациите да ја приоретизираат инсталацијата на закрпи.

Иако непотврдено, некои заканувачи тврдат дека ја искористиле ранливоста MongoBleed во неодамнешен напад на онлајн платформата Ubisoft Ranbow Six Siege.

Ерик Капуано, ко-основач на Recon InfoSec, предупредува дека инсталацијата на закрпи е само дел од одговорот на проблемот со MongoBleed и советува организациите исто така да проверат за знаци на компромитација.

Во блог пост објавен вчера, истражувачот објаснува метод за откривање кој вклучува проверка за „изворна IP адреса со стотици или илјадници конекции, но нула метаподаточни настани.“

Сепак, Капуано предупредува дека откривањето се базира на моментално достапниот proof-of-concept експлоит код и дека напаѓачот може да го модифицира за да вклучи лажни метаподатоци на клиентот или да ја намали брзината на експлоатација.

Флориан Рот – создател на THOR APT Scanner и илјадници YARA правила – го искористи истражувањето на Капуано за да создаде MongoBleed Detector – алатка која ги анализира MongoDB логовите и идентификува потенцијална експлоатација на ранливоста CVE-2025-14847.

Безбедни алатки за беззагубна компресија

MongoDB ја реши ранливоста MongoBleed пред десет дена, со силна препорака за администраторите да надградат на безбедна верзија (8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 или 4.4.30).

Продавецот предупредува дека голем број верзии на MongoDB се погодени од MongoBleed (CVE-2025-14847), некои наследни верзии објавени уште во доцна 2017 година, и некои неодамнешни од ноември 2025 година:

• MongoDB 8.2.0 до 8.2.3
• MongoDB 8.0.0 до 8.0.16
• MongoDB 7.0.0 до 7.0.26
• MongoDB 6.0.0 до 6.0.26
• MongoDB 5.0.0 до 5.0.31
• MongoDB 4.4.0 до 4.4.29
• Сите MongoDB Server v4.2 верзии
• Сите MongoDB Server v4.0 верзии
• Сите MongoDB Server v3.6 верзии

Корисниците на MongoDB Atlas, целосно управувана мулти-облачна база на податоци, ја добија закрпата автоматски и не треба да преземат никакви акции.

MongoDB наведува дека нема замена за оваа ранливост. Доколку надградбата на нова верзија не е можно, продавецот препорачува клиентите да ја оневозможат zlib компресијата на серверот и обезбедува инструкции како да се направи тоа.

Безбедни алтернативи за беззагубна компресија на податоци вклучуваат Zstandard (zstd) и Snappy (порано Zippy), кои се одржуваат од страна на Meta и Google.

Извори:

• Bleeping Computer – Exploited MongoBleed flaw leaks MongoDB secrets, 87K servers exposed Bleeping Computer