Выпущен детектор для критической уязвимости MongoBleed в базах данных MongoDB

Выпущен инструмент по выявлению потенциальной уязвимости MongoBleed (CVE-2025-14847), угрожающей организациям утечкой информации из баз данных MongoDB. MongoBleed Detector — автономный инструмент командной строки с открытым кодом, который анализирует JSON-логи MongoDB. Инструмент позволяет обнаружить попытки эксплуатации уязвимости, сообщает CyberSecurityNews.

MongoBleed — критическая уязвимость, затрагивающая многие версии MongoDB с заводскими конфигурациями. Она позволяет неавторизованным злоумышленникам получить доступ к памяти сервера, в которой могут храниться конфиденциальные данные. Об уязвимости стало известно еще 19 декабря, о возможности её использования — 26 декабря. По данным CyberScoop, уже несколько ИБ-компаний заявили об активной эксплуатации этой уязвимости.

MongoBleed Detector работает без обязательного подключения к сети. Он сопоставляет три типа событий в журналах MongoDB: это логи о принятии соединения, метаданные клиента и закрытии соединения. Легитимные драйверы MongoDB всегда отправляют метаданные сразу после подключения. Эксплойт MongoBleed подключается, извлекает память и отключается, не отправляя метаданные.

Продолжение ниже

Уязвимость угрожает базам данных на open-source решении MongoDB. Исследователи заявляли, что около 42% облачных сред содержат как минимум один экземпляр версии MongoDB, уязвимой для MongoBleed. Уязвимые среды включают как общедоступные, так и внутренние ресурсы.

Недавний взлом серверов игры Rainbow Six Siege связывают с применением MongoBleed. Как писал SecPost, параллельно с первой группой взломщиков, которые использовали доступ к администраторским правам для раздачи внутриигровой валюты, действовала вторая команда хакеров. Сообщалось, что вторая группа использовала уязвимость MongoBleed и получила доступ к внутреннему Git-репозиторию Ubisoft, получив значительную долю внутреннего исходного кода продуктов компании.