MongoBleed (CVE-2025-14847)

Resumo

MongoBleed (CVE-2025-14847) é uma falha de divulgação de memória na descompressão zlib do MongoDB que pode permitir que atacantes não autenticados vazem dados sensíveis da memória do servidor. Afeta várias versões do MongoDB e pode ser desencadeada pela abertura de milhares de conexões rápidas enquanto omite os metadados do cliente. A detecção é difícil porque a atividade é amplamente visível apenas nos logs do servidor MongoDB. Para ajudar a buscar este padrão, o autor fornece um artefato Velociraptor.

Investigação

O artefato Velociraptor analisa logs do MongoDB formatados em JSON para eventos de conexão (evento 22943), metadados (evento 51800) e desconexão (evento 22944). Ele agrega conexões por IP de origem, calcula a velocidade de conexão e a taxa de metadados e atribui pontuações de risco. Testes de laboratório em contêineres vulneráveis do MongoDB mostraram que o artefato sinaliza tráfego de alta velocidade e baixo metadado consistente com tentativas de exploração do MongoBleed.

Mitigação

Aplique os patches oficiais do MongoDB (8.2.3, 8.0.17, 7.0.28, 6.0.27) para remediar o problema. Habilite a retenção de logs e a gravação de logs em JSON para que as evidências estejam disponíveis para análise. Implante o artefato de detecção Velociraptor para monitorar comportamentos anormais de conexão e ajuste os limites para reduzir falsos positivos.

Resposta

Se um indicador de alto risco for acionado, isole a instância do MongoDB afetada, valide se ocorreu exploração e colete logs e memória para investigações forenses. Gire quaisquer credenciais ou tokens potencialmente expostos e remedie os serviços impactados. Continue monitorando para atividades repetidas, confirme que todas as implantações estão corrigidas e desative a compactação onde não for necessária.