MongoBleed (CVE-2025-14847)

Riepilogo

MongoBleed (CVE-2025-14847) è una vulnerabilità di divulgazione della memoria nella decompressione di zlib di MongoDB che può consentire ad attaccanti non autenticati di trapelare dati sensibili dalla memoria del server. Colpisce diverse versioni di MongoDB e può essere attivato aprendo migliaia di connessioni rapide omettendo i metadati del cliente. La rilevazione è difficile perché l’attività è visibile principalmente solo nei log del server MongoDB. Per aiutare a cercare questo schema, l’autore fornisce un artefatto Velociraptor.

Indagine

L’artefatto Velociraptor analizza i log di MongoDB formattati in JSON per eventi di connessione (evento 22943), metadati (evento 51800) e disconnessione (evento 22944). Aggrega le connessioni per IP di origine, calcola la velocità delle connessioni e il tasso di metadati, e assegna punteggi di rischio. I test di laboratorio contro container MongoDB vulnerabili hanno mostrato che l’artefatto segnala traffico ad alta velocità e bassa quantità di metadati, coerente con tentativi di sfruttamento di MongoBleed.

Mitigazione

Applicare le patch ufficiali di MongoDB (8.2.3, 8.0.17, 7.0.28, 6.0.27) per risolvere il problema. Abilitare la conservazione dei log e il logging JSON in modo che le prove siano disponibili per l’analisi. Distribuire l’artefatto di rilevazione Velociraptor per monitorare il comportamento di connessione anomalo e regolare le soglie per ridurre i falsi positivi.

Risposta

Se viene attivato un indicatore di alto rischio, isolare l’istanza di MongoDB interessata, verificare se si è verificato uno sfruttamento e raccogliere log e memoria per le indagini forensi. Ruotare eventuali credenziali o token potenzialmente esposti e risolvere i servizi interessati. Continuare a monitorare per attività ripetitive, confermare che tutte le distribuzioni siano patchate e disabilitare la compressione dove non è necessaria.