MongoBleed (CVE-2025-14847)

概要

MongoBleed（CVE-2025-14847）は、MongoDBのzlib解凍処理におけるメモリ開示の欠陥であり、認証されていない攻撃者がサーバーのメモリから機密データを漏洩させる可能性があります。これは複数のMongoDBリリースに影響を与え、クライアントメタデータを省略しながら急速な接続を数千回開くことによってトリガーされる可能性があります。活動はMongoDBサーバーログにのみ主に見られるため、検出は困難です。このパターンを追跡するために、著者はVelociraptorアーティファクトを提供します。

調査

Velociraptorアーティファクトは、接続（イベント22943）、メタデータ（イベント51800）、切断（イベント22944）のイベントのためにJSON形式のMongoDBログを解析します。これにより、ソースIPごとに接続を集約し、接続速度とメタデータ率を計算し、リスクスコアを割り当てます。脆弱なMongoDBコンテナに対するラボテストでは、このアーティファクトはMongoBleedの悪用試行と一致する高速で低メタデータのトラフィックをフラグします。

軽減策

問題を解決するためにMongoDBの公式パッチ（8.2.3、8.0.17、7.0.28、6.0.27）を適用してください。解析用の証拠が利用できるようにログ保持とJSONロギングを有効にしてください。異常な接続動作を監視するためにVelociraptor検出アーティファクトを展開し、誤検知を減らすように閾値を調整してください。

対応

高リスクのインジケーターがトリガーされた場合、影響を受けたMongoDBインスタンスを隔離し、悪用が発生したかどうかを確認し、フォレンジクスのためにログとメモリを収集します。潜在的に漏洩した資格情報やトークンを回転し、影響を受けたサービスを修復します。再発活動を監視し続け、すべてのデプロイメントがパッチされていることを確認し、必要ない場合は圧縮を無効にしてください。