MongoBleed (CVE-2025-14847)

Zusammenfassung

MongoBleed (CVE-2025-14847) ist eine Speicheroffenlegungs-Schwachstelle in der zlib-Dekomprimierung von MongoDB, die es nicht authentifizierten Angreifern ermöglichen kann, sensible Daten aus dem Serverspeicher zu leaken. Sie betrifft mehrere MongoDB-Versionen und kann durch das Öffnen von Tausenden schneller Verbindungen ohne Client-Metadaten ausgelöst werden. Die Erkennung ist schwierig, da die Aktivität größtenteils nur in den MongoDB-Serverprotokollen sichtbar ist. Um bei der Suche nach diesem Muster zu helfen, stellt der Autor ein Velociraptor-Artefakt zur Verfügung.

Untersuchung

Das Velociraptor-Artefakt analysiert JSON-formatierte MongoDB-Protokolle für Verbindungs- (Ereignis 22943), Metadaten- (Ereignis 51800) und Trennungsereignisse (Ereignis 22944). Es aggregiert Verbindungen nach Quell-IP, berechnet die Verbindungsgeschwindigkeit und Metadatengeschwindigkeit und weist Risikobewertungen zu. Labortests an verwundbaren MongoDB-Containern zeigten, dass das Artefakt hochfrequenten, metadatenarmen Verkehr flaggt, der mit MongoBleed-Ausnutzungsversuchen übereinstimmt.

Minderung

Wenden Sie die offiziellen Patches von MongoDB (8.2.3, 8.0.17, 7.0.28, 6.0.27) an, um das Problem zu beheben. Aktivieren Sie die Protokollaufbewahrung und JSON-Protokollierung, damit Beweise für Analysen vorliegen. Setzen Sie das Velociraptor-Erkennungsartefakt ein, um abnormalen Verbindungsverhalten zu überwachen, und passen Sie die Schwellenwerte an, um Fehlalarme zu reduzieren.

Antwort

Wenn ein Hochrisikoindikator ausgelöst wird, isolieren Sie das betroffene MongoDB-Exemplar, validieren Sie, ob eine Ausnutzung stattfand, und sammeln Sie Protokolle und Speicher für die Forensik. Drehen Sie alle potenziell exponierten Anmeldedaten oder Token und sanieren Sie betroffene Dienste. Setzen Sie die Überwachung auf Wiederholungsaktivitäten fort, bestätigen Sie, dass alle Bereitstellungen gepatcht sind, und deaktivieren Sie die Komprimierung, wo sie nicht benötigt wird.