몽고블리드 (CVE-2025-14847)

요약

MongoBleed (CVE-2025-14847)은 인증되지 않은 공격자가 서버 메모리에서 민감한 데이터를 유출할 수 있는 MongoDB의 zlib 디컴프레션에서의 메모리 공개 결함입니다. 여러 MongoDB 릴리스를 영향을 받으며 클라이언트 메타데이터 없이 수천 개의 빠른 연결을 열어 발생할 수 있습니다. 활동이 주로 MongoDB 서버 로그에서만 표시되기 때문에 탐지는 어렵습니다. 이 패턴을 추적하기 위해 저자는 Velociraptor 아티팩트를 제공합니다.

조사

Velociraptor 아티팩트는 연결(이벤트 22943), 메타데이터(이벤트 51800), 연결 해제(이벤트 22944) 이벤트에 대한 JSON 형식의 MongoDB 로그를 파싱합니다. 소스 IP별로 연결을 집계하고, 연결 속도 및 메타데이터 비율을 계산하며, 위험 점수를 부여합니다. 취약한 MongoDB 컨테이너에 대한 실험실 테스트에서 이 아티팩트는 MongoBleed 익스플로잇 시도와 일치하는 고속, 저메타데이터 트래픽을 플래그했습니다.

완화

문제를 해결하려면 MongoDB의 공식 패치(8.2.3, 8.0.17, 7.0.28, 6.0.27)를 적용하십시오. 증거를 분석할 수 있도록 로그 보존 및 JSON 로깅을 활성화하십시오. 비정상적인 연결 행동을 모니터링하기 위해 Velociraptor 탐지 아티팩트를 배포하고 오류 경계를 조정하여 오탐지를 줄입니다.

대응

고위험 지표가 발생하면 영향을 받은 MongoDB 인스턴스를 격리하고, 익스플로잇이 발생했는지 확인하고 포렌식을 위해 로그와 메모리를 수집하십시오. 잠재적으로 노출된 자격 증명이나 토큰을 회전시키고 영향을 받은 서비스를 복구하십시오. 반복적인 활동을 계속 모니터링하고, 모든 배포가 패치되었는지 확인하며 압축이 필요하지 않은 경우 압축을 비활성화하십시오.