MongoBleed (CVE-2025-14847)

Resumen

MongoBleed (CVE-2025-14847) es una falla de divulgación de memoria en la descompresión zlib de MongoDB que puede permitir a atacantes no autenticados filtrar datos sensibles de la memoria del servidor. Afecta a múltiples versiones de MongoDB y puede desencadenarse al abrir miles de conexiones rápidas mientras se omiten los metadatos del cliente. La detección es difícil porque la actividad es en gran parte visible solo en los registros del servidor de MongoDB. Para ayudar a buscar este patrón, el autor proporciona un artefacto de Velociraptor.

Investigación

El artefacto de Velociraptor analiza los registros de MongoDB en formato JSON en busca de eventos de conexión (evento 22943), metadatos (evento 51800) y desconexión (evento 22944). Agrega conexiones por IP de origen, calcula la velocidad de conexión y la tasa de metadatos, y asigna puntuaciones de riesgo. Las pruebas de laboratorio contra contenedores de MongoDB vulnerables mostraron que el artefacto marca tráfico de alta velocidad y baja metadata consistente con intentos de explotación de MongoBleed.

Mitigación

Aplique los parches oficiales de MongoDB (8.2.3, 8.0.17, 7.0.28, 6.0.27) para remediar el problema. Active la retención de registros y el registro en JSON para que la evidencia esté disponible para el análisis. Despliegue el artefacto de detección de Velociraptor para monitorear el comportamiento anormal de conexión y ajuste los umbrales para reducir falsos positivos.

Respuesta

Si se activa un indicador de alto riesgo, aísle la instancia de MongoDB afectada, valide si ocurrió explotación y recopile registros y memoria para forense. Rote cualquier credencial o token potencialmente expuesto y remede los servicios impactados. Continúe monitoreando para detectar actividad repetida, confirme que todas las implementaciones estén parchadas y desactive la compresión donde no sea necesaria.