MongoBleed (CVE-2025-14847)

Резюме

MongoBleed (CVE-2025-14847) — це уразливість розкриття пам’яті в розпаковці zlib MongoDB, яка може дозволити неавтентифікованим атакуючим отримати доступ до конфіденційних даних з пам’яті сервера. Це впливає на кілька випусків MongoDB і може активуватися шляхом відкриття тисяч швидких підключень без вказання метаданих клієнта. Виявити складно, оскільки активність в основному помітна лише в журналах MongoDB сервера. Щоб допомогти в пошуку цього патерну, автор надає артефакт Velociraptor.

Дослідження

Артефакт Velociraptor аналізує журнали MongoDB у форматі JSON на події підключення (подія 22943), метаданих (подія 51800) та відключення (подія 22944). Він агрегує підключення за IP джерела, розраховує швидкість підключень та швидкість метаданих і призначає бали ризику. Лабораторні випробування на вразливих контейнерах MongoDB показали, що артефакт виявляє високошвидкісний трафік з малою кількістю метаданих, характерний для спроб експлуатації MongoBleed.

Пом’якшення

Застосувати офіційні патчі MongoDB (8.2.3, 8.0.17, 7.0.28, 6.0.27) для усунення проблеми. Увімкніть зберігання журналів та журналювання в форматі JSON, щоб мати докази для аналізу. Впровадьте артефакт виявлення Velociraptor, щоб моніторити аномальну поведінку підключень та налаштуйте пороги для зменшення хибно позитивних спрацьовувань.

Відповідь

Якщо виявлено індикатор високого ризику, ізолюйте уражений екземпляр MongoDB, підтвердьте, чи відбулася експлуатація, та зберіть журнали і пам’ять для криміналістичної експертизи. Змініть будь-які потенційно скомпрометовані облікові дані або токени та проведіть відновлення уражених сервісів. Продовжуйте моніторинг для фіксації повторної активності, підтвердьте, що всі розгортання мають патчі, та відключіть компресію там, де вона не потрібна.